شرح Burp Suite من الصفر حتى الاحتراف — الدليل الكامل 2026

GloSecLab // Security Research

WEB APPLICATION SECURITY

الدليل الشامل لـ Burp Suite

من أقوى الأدوات في ترسانة أي محترف أمن تطبيقات الويب — شرح معمّق للمبتدئين والمحترفين على حدٍّ سواء

✍ GloSecLab 📖 قراءة ~15 دقيقة 🏷 Web Pentesting · Kali Linux · OWASP

// فهرس المحتوى

• 01 ما هو Burp Suite؟
• 02 الإصدارات المتاحة
• 03 المكوّنات الأساسية
• 04 التثبيت والإعداد
• 05 إعداد البروكسي
• 06 سير العمل الاحترافي
• 07 نصائح متقدمة
• 08 الأخلاقيات والقانونية

---

01

ما هو Burp Suite؟

Burp Suite هو إطار عمل متكامل لاختبار أمان تطبيقات الويب، طوّرته شركة PortSwigger البريطانية. يُعدّ اليوم المعيار الصناعي الذي تعتمد عليه فرق الـ Penetration Testing والـ Bug Bounty Hunters في شتّى أنحاء العالم.

يعمل كـ HTTP Proxy Interceptor — يجلس بين متصفحك والخادم ويتيح لك التقاط كل طلب واستجابة وتعديلها وإعادة إرسالها، مما يمنحك رؤية كاملة لما يجري خلف الكواليس.

// لماذا Burp Suite؟

يجمع بين الاكتشاف اليدوي والأتمتة الذكية في واجهة واحدة — لا غنى عنه في أي اختبار اختراق جادّ لتطبيقات الويب.

Web SecurityProxy ToolOWASP Top 10Bug BountyPentest

---

02

الإصدارات المتاحة

الإصدار	الثمن	Scanner التلقائي	Extensions	الاستخدام
Community Edition	مجاني	✗	✗	التعلم والتدريب
Professional	$449 / سنة	✓	✓	الاختبار الاحترافي
Enterprise	حسب الاتفاق	✓ متقدم	✓	فرق الأمن المؤسسية

// نصيحة

ابدأ بالـ Community Edition للتعلم — تحتوي على كل ما تحتاجه. إن كنت جاداً في Bug Bounty، فالـ Professional يستحق الاستثمار تماماً.

---

03

المكوّنات الأساسية

يتألف Burp Suite من أدوات متخصصة تعمل معاً، كل واحدة مصمّمة لمرحلة بعينها من مراحل الاختبار.

🔀

Proxy

قلب Burp Suite. يعترض ويعدّل طلبات HTTP/HTTPS بين المتصفح والخادم في الوقت الفعلي.

🔁

Repeater

يتيح إعادة إرسال الطلبات بعد تعديلها يدوياً — مفيد لاستكشاف الثغرات وتأكيدها.

🔥

Intruder

أداة هجمات Brute Force والفازينج. تضع نقاط حقن في الطلب وتضخ فيها قوائم كلمات.

🕷

Spider / Crawler

يزحف عبر التطبيق ويرسم خريطة شاملة لجميع الروابط والـ Endpoints.

🔍

Scanner

يكشف الثغرات تلقائياً (Pro فقط). يغطي OWASP Top 10 وما هو أعمق.

⚙️

Decoder / Comparer

فك وتشفير البيانات (Base64, URL...) ومقارنة الاستجابات للكشف عن الفروقات.

---

04

التثبيت والإعداد

Burp Suite مثبّت مسبقاً على Kali Linux. يمكنك تشغيله مباشرةً من الطرفية:

BASH // KALI LINUX

# تشغيل Burp Suite
burpsuite

# تحديثه عبر apt
sudo apt update && sudo apt install burpsuite -y

---

05

إعداد البروكسي والشهادة

1

إعداد Proxy في Burp

انتقل إلى Proxy → Options وتأكد أن المستمع يعمل على 127.0.0.1:8080

2

إعداد المتصفح

وجّه متصفحك لاستخدام البروكسي 127.0.0.1:8080. يُنصح بإضافة FoxyProxy للتبديل السريع.

3

تثبيت شهادة Burp CA

تصفّح إلى http://burpsuite وحمّل الشهادة وثبّتها في متجر شهادات المتصفح.

4

تفعيل الاعتراض

اذهب إلى Proxy → Intercept وفعّل زر Intercept is ON. الآن كل طلب سيتوقف بانتظار موافقتك.

---

06

سير العمل الاحترافي

// المرحلة 1 — الاستطلاع

استخدم Spider لرسم خريطة التطبيق، ثم راجع Target → Site Map لترى كل Endpoint اكتُشف.

// المرحلة 2 — جمع المعلومات

استخدم Proxy لتحليل الطلبات: ما الـ Parameters المُرسلة؟ ما نوع التوثيق؟ هل يستخدم JWT أم Cookies؟

// المرحلة 3 — اكتشاف الثغرات

أرسل الطلبات المشبوهة إلى Repeater وعدّلها بحثاً عن SQLi وXSS وIDOR. استخدم Scanner للفحص التلقائي.

// المرحلة 4 — الاستغلال

استخدم Intruder لهجمات Brute Force على صفحات تسجيل الدخول أو لفازينج الـ Parameters.

// المرحلة 5 — التوثيق

استخدم Logger لتصدير سجل الطلبات، وزوّد تقريرك بـ Screenshots وPOC requests لكل ثغرة.

---

07

نصائح وتقنيات متقدمة

🧩

Burp Extensions

استخدم BApp Store لإضافة أدوات كـ Autorize وActiveScan++ وReflected Parameters.

📋

Macros

اجعل Burp يسجّل دخولك تلقائياً قبل كل طلب في الـ Scanner — ضروري للمناطق المحمية.

🎯

Match & Replace

عدّل الرؤوس تلقائياً في كل طلب — مفيد لتزوير User-Agent أو الـ Role.

💾

Project Files

احفظ كل اختبار في ملف مشروع مستقل — يحفظ الطلبات والملاحظات ونتائج الـ Scanner.

HTTP // INTERCEPTED REQUEST

POST /api/login HTTP/1.1
Host: target.com
Content-Type: application/json

{
  "username": "admin",
  "password": "§FUZZ§"  ← نقطة حقن Intruder
}

---

08

الأخلاقيات والإطار القانوني

// تحذير مهم

استخدام Burp Suite على أنظمة دون إذن صريح وخطي يُعدّ جريمة في معظم دول العالم. لا تختبر ما لا تملك إذناً باختباره.

اختبار الاختراق الأخلاقي يقوم على ثلاثة أعمدة: الإذن الكتابي المسبق، والنطاق المحدد والمتفق عليه، والإفصاح المسؤول عن أي ثغرة تُكتشف.

للتدرّب بشكل قانوني وآمن استخدم: PortSwigger Web Academy (مجاني ومتكامل مع Burp)، أو HackTheBox، أو TryHackMe، أو أنشئ بيئة محلية بـ DVWA أو WebGoat.

Ethical HackingResponsible DisclosureBug BountyCVE

GloSecLab

Penetration Testing · Kali Linux · OSINT · Web Security

• Facebook
• Twitter

مشاركة:شرح Burp Suite من الصفر حتى الاحتراف — الدليل الكامل 2026

• Facebook
• Twitter
• WhatsApp
• Pinterest
• LinkedIn
• Reddit
• Tumblr
• Telegram
• Email