دليل Burp Suite: جولة تمهيدية للمبتدئين (2026)
19 يونيو 2001 · بواسطة Pentevo
Burp Suite هو الأداة المعتمَدة لـاختبار أمن تطبيقات الويب. في جوهره وكيل اعتراض (proxy): يجلس بين متصفّحك والموقع المستهدف بحيث ترى — وتعدّل — كل طلب واستجابة. إليك كيف تبدأ.
⚠️ اختبر فقط التطبيقات التي تملكها أو لديك تفويض صريح بتقييمها.
الإصدارات
- Community (مجانية) — Proxy وRepeater وDecoder والأدوات اليدوية. مثالية للتعلّم.
- Professional (مدفوعة) — تضيف الماسح الآلي وأداة Intruder أسرع.
ابدأ بإصدار Community.
الخطوة 1 — إعداد الوكيل (Proxy)
- شغّل Burp وانتقل إلى Proxy → Options؛ يكون المُنصِت (listener) افتراضيًا على
127.0.0.1:8080. - وجّه متصفّحك إلى هذا الوكيل (متصفّح Burp المدمج هو الأسهل — فهو مُعدّ مسبقًا).
- ثبّت شهادة CA الخاصة بـ Burp في المتصفّح كي يُفكّ ترميز حركة HTTPS بنظافة.
مع تفعيل Intercept تتوقّف الطلبات مؤقتًا كي تفحصها أو تعدّلها قبل إرسالها. ومع تعطيله يستمر كل شيء بالمرور عبر HTTP history، حيث يمكنك مراجعة الحركة لاحقًا.
الخطوة 2 — قراءة الحركة
تصفّح الهدف كالمعتاد. في Proxy → HTTP history سترى كل طلب: الطريقة، والرابط، والمعاملات، والكوكيز، والاستجابة كاملة. هذا وحده يعلّمك الكثير عن كيفية عمل التطبيق.
الخطوة 3 — Repeater (حصان العمل)
انقر بزر الفأرة الأيمن على أي طلب واختر Send to Repeater. هناك يمكنك تغيير معامل، وإعادة الإرسال، ورؤية كيفية استجابة الخادم بالضبط. هذا الاختبار اليدوي التكراري — تغيّر شيئًا واحدًا وتراقب — هو المهارة الجوهرية في اختبار الويب.
الخطوة 4 — Intruder (اختبار المدخلات الآلي)
يكرّر Intruder طلبًا مع إدراج قيم في المواضع التي تحدّدها — وهو مفيد لاختبار كيفية تعامل نقطة نهاية مع مدخلات كثيرة (مثل التحقق مما إذا كان معامل يُتحقَّق منه بشكل سليم). في إصدار Community يكون محدود المعدّل، لكنه رائع لتعلّم المفهوم.
الخطوة 5 — Scanner (النسخة الاحترافية)
تضيف النسخة الاحترافية ماسحًا آليًا يزحف ويدقّق بحثًا عن المشكلات الشائعة المرتبطة بـOWASP Top 10. إنه مضاعِف للقوة — لكن تذكّر أن الماسح يُبلّغ عن مشكلات محتملة؛ ولا يزال على إنسان (أو وكيل ذكاء اصطناعي) أن يتحقق مما هو حقيقي.
سير عمل تعليمي منطقي
- ارسم خريطة التطبيق باستخدام Nmap مع تصفّح شامل.
- راقب الحركة في HTTP history داخل Burp.
- اختر الطلبات المثيرة للاهتمام ← Repeater ← جرّب.
- أكّد النتائج مقابل فئات OWASP.
- دوّن ما وجدته وكيفية إصلاحه.
تدرّب بأمان وتعلّم المنهج
جهّز تطبيقًا مصمّمًا عمدًا ليكون قابلًا للاختراق داخل جهاز افتراضي ووجّه Burp نحو ذلك التطبيق. ولتعلّم المنهجية خلف الأداة — لا مجرد النقرات — تغطّي أكاديمية Pentevo المجانية اختبار تطبيقات الويب ضمن منهج CEH الكامل.
الأسئلة الشائعة
ما هو Burp Suite؟
Burp Suite هو الأداة الأساسية لاختبار أمن تطبيقات الويب. في جوهره وكيل اعتراض (proxy): يجلس بين متصفّحك والموقع المستهدف بحيث ترى كل طلب واستجابة — وتعدّلهما. هذا يجعله أداة لا غنى عنها لفهم كيف يعمل التطبيق فعليًا.
هل النسخة المجتمعية المجانية من Burp Suite كافية؟
للتعلّم نعم. توفّر النسخة المجتمعية أدوات Proxy وRepeater وDecoder والأدوات اليدوية — وهي كل ما تحتاجه لإتقان منهجية اختبار الويب الأساسية. أما النسخة الاحترافية فتضيف ماسحًا آليًا وأداة Intruder أسرع، لكنها ليست ضرورية للبدء.
ما الفرق بين Repeater وIntruder؟
يُستخدم Repeater للاختبار اليدوي التكراري: تغيّر معاملًا، وتعيد إرسال الطلب، وتراقب استجابة الخادم. أما Intruder فيُؤتمت ذلك بتكرار طلب مع إدراج قيم في مواضع تحدّدها — وهو مفيد لاختبار كيفية تعامل نقطة نهاية مع مدخلات كثيرة.
هل استخدام Burp Suite قانوني؟
اختبر فقط التطبيقات التي تملكها أو لديك تفويض صريح بتقييمها. للتدريب الآمن، جهّز تطبيقًا مصمّمًا عمدًا ليكون قابلًا للاختراق داخل جهاز افتراضي ووجّه Burp نحوه. قد يكون اختبار تطبيقات الآخرين دون تفويض مخالفًا للقانون.
مقالات ذات صلة
أفضل أدوات اختبار الاختراق في 2026
أدوات اختبار الاختراق الأساسية التي ينبغي لكل مخترق أخلاقي معرفتها — ماسحات، ووكلاء بروكسي، وأطر استغلال والمزيد، مع أفضل استخدام لكل منها.
Toolsأفضل ماسحات الثغرات في 2026
مقارنة عملية لأفضل ماسحات الثغرات — ماذا تفعل، والخيارات المجانية مقابل التجارية، وكيف يندرج الفحص ضمن أمن حقيقي.
Toolsدليل Metasploit للمبتدئين (2026)
افهم إطار Metasploit — ما هو، ومفاهيمه الأساسية (الوحدات، والحمولات، والجلسات)، وكيفية استخدامه للتعلّم المصرّح به.
ToolsKali Linux للمبتدئين: البداية في 2026
ما هو Kali Linux، ولمن هو موجّه، وكيف تثبّته بأمان، والأوامر والأدوات الأساسية لبدء رحلتك في الاختراق الأخلاقي.
طبّق هذا عمليًا
أكاديمية Pentevo تحوّل هذه المفاهيم إلى دروس موجّهة وفيديوهات واختبارات — مجانًا.
ابدأ التعلّم مجانًا