Burp Suite adalah salah satu alat terbaik untuk menguji keamanan API, termasuk REST API dan GraphQL, dengan fitur seperti intercept request, fuzzing, dan vulnerability scanning. Namun, jika tidak digunakan dengan hati-hati, Anda bisa terkena banned atau rate limiting oleh server API yang diuji.
Di tutorial ini, kita akan membahas cara menguji keamanan API menggunakan Burp Suite tanpa kena banned dengan strategi yang aman dan etis.
📌 1. Persiapan Awal
🔧 Peralatan yang Dibutuhkan
- Burp Suite Community atau Professional (Unduh di https://portswigger.net/burp)
- Proxy (Opsional) untuk menghindari deteksi
- Postman atau cURL untuk tes manual sebelum otomatisasi
📥 Instalasi dan Konfigurasi
- Unduh & Instal Burp Suite
- Jika menggunakan Kali Linux, Burp Suite sudah terinstal secara default.
- Untuk Windows/macOS, unduh dari situs resmi dan instal seperti biasa.
- Konfigurasi Proxy Burp Suite
- Buka Burp Suite > Proxy > Options
- Pastikan intercept diaktifkan pada port 8080 (default).
- Atur browser atau Postman agar menggunakan proxy
127.0.0.1:8080.
🔎 2. Cara Menguji Keamanan API dengan Burp Suite
💡 Langkah 1: Mengambil API Request dari Aplikasi atau Postman
- Buka Postman atau cURL dan kirimkan request ke API yang ingin diuji.
- Periksa HTTP request menggunakan Burp Suite dengan mode Intercept On.
- Tambahkan request ke “Repeater” untuk menguji API tanpa mengirim banyak request.
Di Burp Suite > Proxy > HTTP History, Anda akan melihat request API muncul.
🔐 Langkah 2: Menghindari Deteksi dan Banned
1️⃣ Gunakan User-Agent yang Beragam
Banyak API memblokir permintaan yang mencurigakan berdasarkan User-Agent. Ubah header User-Agent ke yang biasa digunakan browser atau aplikasi asli.
Di Burp Suite:
- Masuk ke Repeater
- Edit headers dan ubah
User-Agentke string browser populer
2️⃣ Hindari Terlalu Banyak Request dalam Waktu Singkat (Rate Limiting)
Beberapa API memiliki rate limiting yang membatasi jumlah request per detik. Untuk menghindari banned:
- Gunakan Throttle di Burp Suite Intruder
- Batasi request menjadi 1 per detik atau lebih lambat
- Gunakan sesi autentikasi yang valid (hindari bruteforce langsung)
Di Burp Suite:
- Masuk ke Intruder > Options
- Atur Throttle ke
1000msuntuk 1 request per detik
3️⃣ Gunakan Rotasi IP dengan Proxy atau VPN
Jika API memiliki proteksi IP rate limiting, gunakan Proxy Rotator seperti:
- Tor Proxy (
127.0.0.1:9050) - VPN dengan IP yang berubah otomatis
- Rotating Residential Proxy (misalnya BrightData atau Smartproxy)
Di Burp Suite:
- Masuk ke User Options > Connections
- Atur Upstream Proxy Servers dengan IP dari proxy atau VPN
4️⃣ Perhatikan API Token atau Session Expiry
Jika API menggunakan OAuth atau JWT, jangan asal mengganti token.
- Ambil token yang sah dari aplikasi
- Jika expired, refresh token terlebih dahulu
- Jangan gunakan token dari user lain tanpa izin (bisa melanggar hukum)
🛡 Langkah 3: Mengidentifikasi Kerentanan API
1️⃣ Cek Endpoint API Terbuka (Unprotected API)
- Uji apakah API bisa diakses tanpa autentikasi
- Coba kirim request tanpa
Authorizationheader
Hasil yang diharapkan: Jika API tidak memerlukan autentikasi, ini adalah risiko besar!
2️⃣ Coba Bypass Rate Limit
Jika API memiliki limit 5 request per menit, coba:
- Gunakan beberapa akun berbeda untuk melihat apakah limit berlaku per akun
- Gunakan beberapa IP (rotasi proxy) untuk melihat apakah limit berlaku per IP
Jika API hanya membatasi berdasarkan IP, Anda bisa mengganti IP dan tetap mengakses API.
3️⃣ Coba SQL Injection dan Command Injection
Beberapa API masih rentan terhadap SQL Injection, terutama di parameter input.
Jika API mengembalikan semua data, berarti ada SQL Injection.
Gunakan Burp Suite Intruder untuk mencoba payload otomatis.
4️⃣ Coba Broken Authentication (JWT / OAuth Testing)
Banyak API menggunakan JWT (JSON Web Token), tapi tidak semua mengamankan dengan baik.
Coba:
- Hapus signature JWT dan lihat apakah API tetap menerimanya
- Coba JWT dari user lain untuk melihat apakah token bisa digunakan lintas akun
Gunakan JWT Debugger di jwt.io untuk memodifikasi token.
🎯 4. Best Practices: Uji API Tanpa Kena Banned
- Gunakan sesi autentikasi yang valid (jangan asal testing dengan akun dummy)
- Hindari flood request atau DDoS API (gunakan delay per request)
- Gunakan akun resmi atau sandbox API jika ada
- Pastikan pengujian dilakukan dalam ruang lingkup yang diizinkan (legal testing)
📌 5. Kesimpulan
Pelatihan dan sertifikasi BNSP dalam bidang IT Service Management (ITSM) dan keamanan API sangat penting untuk mempersiapkan profesional dalam mengelola dan menguji keamanan aplikasi berbasis API. Dengan menggunakan Burp Suite, para peserta dapat belajar cara melakukan analisis keamanan secara efektif, termasuk teknik untuk menghindari banned serta mengidentifikasi kerentanan, seperti SQL Injection dan Broken Authentication. Kami LSP memiliki skema pelatihan yang dirancang secara profesional, dengan instruktur berpengalaman, dan menyediakan sertifikat BNSP yang relevan, seperti sertifikasi Quality Assurance, Tester, atau Junior Cyber Security, yang dapat meningkatkan kredibilitas dan daya saing peserta di dunia kerja
✅ Burp Suite sangat powerful untuk menguji keamanan API, tetapi harus digunakan dengan bijak.
✅ Gunakan User-Agent yang valid, atur rate limiting, dan gunakan proxy untuk menghindari banned.
✅ Fokus pada celah keamanan seperti SQL Injection, Broken Authentication, dan Rate Limit Bypass.
Dengan mengikuti teknik ini, Anda bisa menguji keamanan API secara profesional tanpa risiko akun atau IP terkena blokir. 🚀
Pelatihan dan Sertifikasi BNSP Kompetensi pada dibidang ini adalah skema Quality Assirance / Tester / Cyber Security Junior