Burp-Suite-Tutorial: Ein Einstieg für Anfänger (2026)
19. Juni 2001 · von Pentevo
Burp Suite ist das bevorzugte Werkzeug für Sicherheitstests von Webanwendungen. Im Kern ist es ein abfangender Proxy: Es sitzt zwischen Ihrem Browser und der Zielseite, sodass Sie jede Anfrage und Antwort sehen — und verändern — können. So gelingt der Einstieg.
⚠️ Testen Sie nur Anwendungen, die Ihnen gehören oder für die Sie ausdrücklich zur Prüfung autorisiert sind.
Editionen
- Community (kostenlos) — Proxy, Repeater, Decoder und die manuellen Werkzeuge. Perfekt zum Lernen.
- Professional (kostenpflichtig) — ergänzt den automatisierten Scanner und einen schnelleren Intruder.
Beginnen Sie mit Community.
Schritt 1 — Den Proxy einrichten
- Starten Sie Burp und gehen Sie zu Proxy → Options; der Listener steht standardmäßig auf
127.0.0.1:8080. - Richten Sie Ihren Browser auf diesen Proxy (der integrierte Burp-Browser ist am einfachsten — er ist vorkonfiguriert).
- Installieren Sie Burps CA-Zertifikat im Browser, damit HTTPS-Verkehr sauber dekodiert wird.
Mit aktiviertem Intercept pausieren Anfragen, sodass Sie sie vor dem Senden prüfen oder bearbeiten können. Ist es deaktiviert, fließt trotzdem alles durch die HTTP history, wo Sie den Verkehr im Nachhinein durchsehen können.
Schritt 2 — Den Verkehr lesen
Browsen Sie das Ziel wie gewohnt. In Proxy → HTTP history sehen Sie jede Anfrage: Methode, URL, Parameter, Cookies und die vollständige Antwort. Schon das allein lehrt Sie enorm viel darüber, wie eine App funktioniert.
Schritt 3 — Repeater (das Arbeitspferd)
Rechtsklicken Sie eine beliebige Anfrage und wählen Sie Send to Repeater. Dort können Sie einen Parameter ändern, erneut senden und genau sehen, wie der Server reagiert. Dieses manuelle, iterative Testen — eine Sache ändern, beobachten — ist die Kernkompetenz des Web-Testings.
Schritt 4 — Intruder (automatisiertes Testen von Eingaben)
Intruder wiederholt eine Anfrage und setzt dabei Werte in die Positionen ein, die Sie markieren — nützlich, um zu testen, wie ein Endpunkt viele Eingaben verarbeitet (etwa zu prüfen, ob ein Parameter korrekt validiert wird). In der Community-Edition ist er ratenbegrenzt, eignet sich aber hervorragend, um das Konzept zu erlernen.
Schritt 5 — Scanner (Pro)
Professional ergänzt einen automatisierten Scanner, der die Anwendung durchsucht und auf häufige Probleme prüft, die den OWASP Top 10 zugeordnet sind. Er ist ein Kraftverstärker — aber denken Sie daran, dass ein Scanner potenzielle Probleme meldet; ein Mensch (oder KI-Agent) muss weiterhin verifizieren, was real ist.
Ein sinnvoller Lern-Workflow
- Kartieren Sie die App mit Nmap und einem Durchklicken.
- Beobachten Sie den Verkehr in Burps HTTP history.
- Wählen Sie interessante Anfragen → Repeater → experimentieren.
- Bestätigen Sie Funde anhand der OWASP-Kategorien.
- Halten Sie fest, was Sie gefunden haben und wie es zu beheben ist.
Sicher üben und die Methode lernen
Setzen Sie eine bewusst verwundbare App in einer VM auf und richten Sie Burp gegen diese. Um die Methodik hinter dem Werkzeug zu erlernen — nicht nur die Klicks — deckt unsere kostenlose Pentevo Academy das Testen von Webanwendungen als Teil des kompletten CEH-Lehrplans ab.
Häufig gestellte Fragen
Was ist Burp Suite?
Burp Suite ist das Standardwerkzeug für Sicherheitstests von Webanwendungen. Im Kern ist es ein abfangender Proxy: Es sitzt zwischen Ihrem Browser und der Zielseite, sodass Sie jede Anfrage und Antwort sehen — und verändern — können. Das macht es unverzichtbar, um zu verstehen, wie eine App tatsächlich funktioniert.
Ist die kostenlose Community-Edition von Burp Suite gut genug?
Für das Lernen ja. Die Community-Edition bietet Proxy, Repeater, Decoder und die manuellen Werkzeuge — alles, was Sie brauchen, um die Kernmethodik des Web-Testings zu beherrschen. Die Professional-Edition ergänzt einen automatisierten Scanner und einen schnelleren Intruder, ist aber für den Einstieg nicht erforderlich.
Was ist der Unterschied zwischen Repeater und Intruder?
Repeater dient dem manuellen, iterativen Testen: Sie ändern einen Parameter, senden die Anfrage erneut und beobachten die Antwort des Servers. Intruder automatisiert dies, indem er eine Anfrage wiederholt und dabei Werte in markierte Positionen einsetzt — nützlich, um zu prüfen, wie ein Endpunkt viele Eingaben verarbeitet.
Ist es legal, Burp Suite zu verwenden?
Testen Sie nur Anwendungen, die Ihnen gehören oder für die Sie ausdrücklich autorisiert sind. Für sicheres Üben richten Sie eine bewusst verwundbare App in einer VM ein und richten Burp gegen diese. Unautorisiertes Testen fremder Anwendungen kann illegal sein.
Weiterführende Artikel
Die besten Penetrationstest-Tools 2026
Die essenziellen Penetrationstest-Tools, die jeder Ethical Hacker kennen sollte — Scanner, Proxys, Exploitation-Frameworks und mehr, mit dem jeweiligen Einsatzzweck.
ToolsDie besten Schwachstellenscanner 2026
Ein praktischer Vergleich der besten Schwachstellenscanner – was sie leisten, freie vs. kommerzielle Optionen und wie Scannen in echte Sicherheit passt.
ToolsMetasploit-Tutorial für Einsteiger (2026)
Das Metasploit Framework verstehen – was es ist, seine Kernkonzepte (Module, Payloads, Sessions) und wie man es für autorisiertes Lernen nutzt.
ToolsKali Linux für Einsteiger: Der Einstieg 2026
Was Kali Linux ist, für wen es gedacht ist, wie man es sicher installiert und die wichtigsten Befehle und Tools für den Start in die ethische Hacking-Reise.
Praktisch anwenden
Die Pentevo Academy macht aus diesen Konzepten geführte Lektionen, Videos und Quizze — kostenlos.
Kostenlos lernen