Tutorial Burp Suite untuk Pemula: Cara Intercept Traffic Pertama Kamu (Gak Pake Ribet!)

Jujur saja, pertama kali saya membuka aplikasi Burp Suite, saya langsung ingin menutupnya lagi. Tombolnya ada ratusan, tab-nya banyak banget, dan tampilannya terlihat sangat teknis. Mengintimidasi banget, kan?

Tapi tenang, kita senasib kok. Kabar baiknya: Kamu tidak perlu menghafal semua tombol itu sekarang.

Sebagai pemula, kita hanya butuh memahami 1-2 fitur dasar untuk mulai berburu bug. Di artikel ini, kita akan belajar bareng cara melakukan teknik paling sakral dalam dunia bug bounty: Intercept Traffic.

⚠️ Disclaimer: Gunakan Burp Suite hanya pada website milik sendiri atau target yang memberikan izin legal (Bug Bounty Program). Menyadap trafik orang lain adalah tindakan ilegal.

Burp Suite Itu Apa Sih?

Bayangkan kamu mau kirim surat cinta ke pacar (Server). Tapi sebelum surat itu sampai, ada Pak Pos (Burp Suite) yang menahan suratnya di tengah jalan.

Nah, si Pak Pos ini (Kita) bisa melakukan tiga hal:

1. Intip: Baca isi suratnya.
2. Ubah: Ganti tulisan "Aku sayang kamu" jadi "Aku mau pinjam duit" (Manipulasi Data).
3. Teruskan: Kirim surat palsu itu ke pacar.

Itulah cara kerja Burp Suite. Dia duduk di tengah-tengah antara Browser dan Server Website. Teknik ini disebut Man-in-the-Middle (tapi versi legal untuk testing).

Persiapan Tempur

Agar tutorial ini lancar, pastikan kamu sudah punya "kandang" yang aman. Kalau belum, balik dulu ke panduan sebelumnya ya:

👉 Tutorial Install Kali Linux di VirtualBox.

Di dalam Kali Linux, Burp Suite (Community Edition) sudah terinstall otomatis. Jadi kita tinggal pakai saja!

Langkah 1: Setting Proxy (Jalur Komunikasi)

Supaya browser mau "melewati" Burp Suite, kita perlu setting Proxy-nya. Cara paling gampang adalah pakai extension browser bernama FoxyProxy.

1. Buka Firefox di Kali Linux kamu.
2. Install add-on: FoxyProxy Standard.
3. Klik ikon Rubah (FoxyProxy) di pojok kanan atas -> Options.
4. Klik Add, lalu isi seperti ini:
   • Title: Burp
   • Proxy IP: 127.0.0.1
   • Port: 8080
5. Simpan (Save).

Sekarang, kalau kamu mau mengaktifkan Burp, tinggal klik ikon Rubah itu dan pilih "Burp". Kalau mau browsing biasa, pilih "Turn Off". Gampang kan?

Langkah 2: Praktek Intercept Pertama Kamu

Ini momen "Magic"-nya. Mari kita hentikan waktu!

1. Buka Burp Suite

Buka aplikasi Burp Suite di Kali Linux. Pilih Temporary Project -> Next -> Start Burp. Abaikan dashboard yang rumit, langsung saja klik tab Proxy di bagian atas.

2. Nyalakan Tombol Sakti

Pastikan tombol Intercept is on menyala (biasanya berwarna biru/terang). Ini artinya "Pak Pos siap menahan surat".

3. Buka Browser

Di Firefox, aktifkan FoxyProxy ke mode "Burp". Lalu coba buka website apa saja (misalnya: google.com atau website latihan).

Apa yang terjadi? Browser kamu akan loading terus-menerus (muter-muter). Kenapa? Karena request-nya sedang DITAHAN oleh Burp Suite!

4. Lihat di Burp Suite

Cek kembali aplikasi Burp Suite. Kamu akan melihat kode aneh seperti ini di layar:

GET / HTTP/1.1
Host: www.google.com
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:102.0)
Accept: text/html,application/xhtml+xml...
Cookie: PREF=ID=12345...

Selamat! 🎉 Kamu baru saja berhasil menangkap "paket data" yang melayang di internet.

Langkah 3: Apa yang Harus Dilakukan?

Setelah ditangkap, kamu punya dua pilihan tombol utama di bagian atas:

• Forward: Lepaskan paket tersebut agar sampai ke server (Browser akan selesai loading).
• Drop: Buang paket tersebut (Browser akan error).

Seorang Bug Hunter biasanya akan mengubah-ubah isi paket tersebut sebelum menekan Forward. Misalnya, mengganti id=100 menjadi id=101 untuk mengetes celah keamanan Broken Access Control.

Tips Belajar Tanpa Pusing

Jangan coba-coba menghafal fitur Repeater, Intruder, atau Decoder dulu hari ini. Fokus saja dulu pada sensasi "menangkap dan melepaskan" traffic.

Cobalah buka website latihan seperti OWASP Juice Shop, lalu tangkap request login-nya. Lihat bagaimana password kamu dikirim lewat jaringan. Seru, kan?

Penutup

Burp Suite adalah sahabat terbaik bug hunter. Hari ini kita sudah kenalan dan berhasil "jabat tangan" (intercept).

Di artikel berikutnya, kita akan praktek lebih nakal lagi: Menggunakan fitur REPEATER untuk mencoba menembus login tanpa password. Siap-siap ya!

Jangan Lewatkan Seri Sebelumnya:

• Roadmap Bug Hunter: Dari Nol ke Pro
• Daftar Target Buruan (OWASP Top 10)
• Panduan Install Kali Linux & Lab

Share this post