Bug Bounty, Penetration Testing, pentesting, Tools Hacking, Web Application

Cara Intercept Website Internal yang Hanya Bisa Diakses via Proxy Menggunakan Burp Suite (Upstream Proxy Guide)

April 9, 2026
burp suite upstream proxy

Dalam lingkungan perusahaan, sering kali terdapat website internal yang hanya dapat diakses melalui proxy kantor (corporate proxy). Hal ini bertujuan untuk meningkatkan keamanan dan kontrol akses jaringan.

Namun, bagi seorang penetration tester atau security engineer, kondisi ini menimbulkan tantangan:
traffic tidak bisa langsung di-intercept oleh Burp Suite

Artikel ini akan membahas cara mengatasi hal tersebut dengan memanfaatkan fitur upstream proxy pada Burp Suite, sehingga seluruh request tetap bisa dianalisis.

Biasanya skenario yang terjadi:

  • Website internal hanya bisa diakses jika menggunakan proxy kantor
  • Jika browser diarahkan ke Burp → request gagal
  • Jika langsung pakai proxy kantor → tidak bisa di-intercept

Artinya:

  • Burp tidak “terhubung” ke jalur proxy internal

SOLUSI

Solusinya adalah menggunakan Upstream Proxy.

Browser → Burp Suite → Proxy Kantor → Website Internal

Dengan konfigurasi ini:

  • Browser tetap ke Burp
  • Burp meneruskan request ke proxy kantor
  • Traffic tetap bisa di-intercept

Langkah-Langkah Konfigurasi

1. Set Proxy Browser ke Burp

Gunakan:

  • Host: 127.0.0.1
  • Port: 8080

Atau gunakan ekstensi seperti:

  • FoxyProxy

2. Pastikan Listener Burp Aktif

Masuk ke:

  • Proxy → Options → Proxy Listeners

Pastikan:

  • 127.0.0.1:8080 aktif

3. Konfigurasi Upstream Proxy (Paling Penting)

Masuk ke:

  • User Options → Connections → Upstream Proxy Servers

Klik Add, lalu isi:

  • Destination host: *
  • Proxy host: (isi dengan proxy kantor, contoh: 10.x.x.x)
  • Proxy port: (misalnya: 8080 / 3128)

Jika ada autentikasi:

  • Isi username & password proxy kantor

4. Import Certificate Burp

Agar HTTPS bisa di-intercept:

  • Buka: http://burp
  • Install CA Certificate ke browser

5. Testing

Coba akses website internal:

Jika berhasil:

  • Website terbuka
  • Request muncul di Burp

Jika gagal:

  • Cek upstream proxy
  • Cek autentikasi proxy
  • Cek firewall perusahaan

Troubleshooting (Penting Banget)

Tidak Bisa Akses Website

  • Proxy kantor belum dimasukkan ke upstream
  • Port proxy salah

Request Tidak Muncul di Burp

  • Browser tidak diarahkan ke Burp
  • FoxyProxy belum aktif

HTTPS Error

  • Certificate Burp belum di-install
  • Ada SSL pinning

407 Proxy Authentication Required

  • Proxy kantor butuh login
  • Masukkan credential di upstream proxy

Kelebihan Metode Ini

  • Bisa intercept environment internal
  • Tetap sesuai jalur jaringan perusahaan
  • Tidak perlu bypass security policy
  • Cocok untuk pentest & audit internal

Best Practice

  • Gunakan di environment yang memiliki izin resmi
  • Jangan bypass kebijakan perusahaan tanpa otorisasi
  • Simpan log dengan aman
  • Gunakan hanya untuk tujuan pengujian keamanan

Website internal yang hanya dapat diakses melalui proxy kantor tetap dapat di-intercept menggunakan Burp Suite dengan memanfaatkan fitur upstream proxy. Dengan konfigurasi yang tepat, seluruh traffic tetap melewati Burp tanpa mengganggu jalur akses yang telah ditentukan oleh sistem jaringan perusahaan.

Tagged , , , ,

Related Posts

Bug Bounty - IDOR Leaked PII at Mako Bakery with AI ChatGPT

Bug Bounty – IDOR Leaked PII at Mako Bakery with AI ChatGPT

June 1, 2025

CTF PHP Juggling

March 10, 2025

Bypass SSL Pinning For Nox Emulator NOXER Tool

June 13, 2024

Leave a Reply

Your email address will not be published. Required fields are marked *