Aide-mémoire Burp Suite
Référence complète pour les tests de sécurité des applications web
Proxy • Repeater • Intruder • Scanner • Extensions
📑 Navigation rapide
Qu'est-ce que Burp Suite ?
Burp Suite est une plateforme intégrée pour les tests de sécurité des applications web, développée par PortSwigger. C'est le standard de l'industrie pour les tests manuels et l'analyse automatisée des applications web. L'édition Community est gratuite, tandis que les éditions Professional et Enterprise offrent des fonctionnalités avancées de scan et de collaboration.
Téléchargement depuis portswigger.net/burp. Burp Suite est préinstallé sur Kali Linux.
⚙️ Configuration initiale
1. Configurer le proxy du navigateur
Configurez votre navigateur pour utiliser le proxy de Burp :
| Adresse du proxy | 127.0.0.1 |
| Port du proxy | 8080 |
2. Installer le certificat CA (pour HTTPS)
- Avec le proxy Burp en cours d'exécution, visitez
http://burpdans votre navigateur - Cliquez sur "CA Certificate" pour télécharger
- Importez-le dans le magasin de certificats de votre navigateur comme CA de confiance
💡 Astuce pro
Utilisez le navigateur intégré de Burp (Proxy → Open Browser) pour une configuration automatique du proxy et du certificat. Disponible dans les éditions Community et Pro.
⌨️ Raccourcis clavier essentiels
| Raccourci | Action |
|---|---|
| Ctrl+R | Envoyer vers Repeater |
| Ctrl+I | Envoyer vers Intruder |
| Ctrl+Shift+R | Envoyer la requête (dans Repeater) |
| Ctrl+Space | Envoyer la requête (dans Repeater - alternatif) |
| Ctrl+U | Encoder URL la sélection |
| Ctrl+Shift+U | Décoder URL la sélection |
| Ctrl+B | Encoder Base64 la sélection |
| Ctrl+Shift+B | Décoder Base64 la sélection |
| Ctrl+F | Rechercher |
| Ctrl+/ | Basculer l'interception (Proxy) |
🔄 Proxy
L'outil Proxy intercepte le trafic HTTP/HTTPS entre votre navigateur et les applications web.
Onglet Intercept
| Intercept is on | Toutes les requêtes correspondantes sont retenues pour examen |
| Intercept is off | Le trafic passe automatiquement |
| Forward | Envoyer la requête actuelle au serveur |
| Drop | Abandonner la requête actuelle |
| Action | Menu clic droit pour envoyer vers Repeater, Intruder, etc. |
HTTP History
Toutes les requêtes/réponses HTTP sont enregistrées ici même lorsque l'interception est désactivée. Filtrer par :
Règles Match and Replace
Modifier automatiquement les requêtes/réponses (Proxy → Options → Match and Replace) :
- Ajouter des en-têtes personnalisés à toutes les requêtes
- Remplacer le User-Agent
- Modifier les cookies automatiquement
- Supprimer les en-têtes de sécurité des réponses
🎯 Target
Site Map
Représentation visuelle du contenu découvert. Options du clic droit :
| Add to scope | Inclure dans le périmètre cible |
| Spider this host | Explorer pour plus de contenu |
| Actively scan this host | Exécuter le scanner de vulnérabilités (Pro uniquement) |
| Engagement tools | Découvrir du contenu, trouver des commentaires, analyser la cible |
Configuration du périmètre
Définir quels hôtes/URL sont dans le périmètre des tests. Cela affecte :
- Ce qui est intercepté par le Proxy
- Ce qui est exploré par le Spider
- Ce qui est analysé par le Scanner
- Ce qui apparaît dans les vues filtrées
📋 Exemples de patterns de périmètre
# Inclure le domaine entier
.*\.example\.com$
# Inclure un chemin spécifique
^https://example\.com/app/.*
# Exclure des chemins spécifiques
^https://example\.com/logout.*🔁 Repeater
Modifier manuellement et renvoyer des requêtes HTTP individuelles. Essentiel pour tester les vulnérabilités.
Flux de travail
1
Envoyer la requête vers Repeater (Ctrl+R)
2
Modifier la requête
3
Cliquer sur Send
4
Analyser la réponse
Techniques de test
- Injection SQL : Ajouter
' OR '1'='1aux paramètres - XSS : Injecter
<script>alert(1)</script> - Path Traversal : Essayer
../../../etc/passwd - IDOR : Changer les valeurs d'ID (1 → 2, admin → user)
- Method Override : Changer GET en POST, PUT, DELETE
- Header Injection : Ajouter des en-têtes malveillants
💥 Intruder
Attaques personnalisées automatisées. Envoyer la requête vers Intruder (Ctrl+I), définir les positions, et lancer des attaques avec des payloads.
Types d'attaques
| Type | Description | Cas d'utilisation |
|---|---|---|
| Sniper | Un seul jeu de payloads, une position à la fois | Fuzzing de paramètres individuels |
| Battering Ram | Même payload dans toutes les positions simultanément | Même valeur dans plusieurs champs |
| Pitchfork | Différents jeux de payloads en parallèle | Test de paires utilisateur:mot de passe |
| Cluster Bomb | Toutes les combinaisons de jeux de payloads | Force brute sur plusieurs paramètres |
Types de payloads
Liste de mots personnalisée
Nombres séquentiels/aléatoires
Combinaisons de jeux de caractères
Lecture depuis fichier pendant l'attaque
Plage de dates avec format
Répéter la requête n fois
Traitement des payloads
Appliquer des règles aux payloads avant l'envoi :
- Ajouter préfixe/suffixe
- Encodage URL
- Encodage/décodage Base64
- Hash (MD5, SHA1, etc.)
- Match/replace
- Ignorer si correspond à une condition
⚠️ Limitation de l'édition Community
Intruder dans l'édition gratuite est limité en vitesse. L'édition Professional supprime les limites de vitesse.
🔤 Decoder
Encoder et décoder des données dans différents formats.
Formats supportés
Fonctions de hachage
MD2, MD5, SHA, SHA-256, SHA-384, SHA-512
⚖️ Comparer
Comparer deux requêtes ou réponses pour identifier les différences. Utile pour :
- Identifier les contournements d'authentification
- Trouver les effets de la pollution de paramètres
- Comparer les requêtes réussies vs échouées
- Repérer les différences de timing
🎲 Sequencer
Analyser l'aléatoire des tokens (IDs de session, tokens CSRF, etc.). Utile pour :
- Tester l'aléatoire des tokens de session
- Évaluer la force des tokens CSRF
- Analyser les tokens de réinitialisation de mot de passe
- Vérifier la génération des clés API
Collecter au moins 100+ échantillons pour une analyse précise.
🔍 Scanner (Pro uniquement)
Scan automatisé de vulnérabilités.
Types de scan
| Passive | Analyse le trafic existant, pas de requêtes supplémentaires |
| Active | Envoie des sondes pour tester les vulnérabilités |
| Crawl | Découvre du contenu en suivant les liens |
| Audit | Teste le contenu découvert pour les vulnérabilités |
Résultats courants
🧩 Extensions essentielles
Installer depuis Extender → BApp Store :
| Extension | Fonction |
|---|---|
| Autorize | Tests d'autorisation automatiques |
| Logger++ | Journalisation améliorée avec filtres |
| Param Miner | Découvrir des paramètres cachés |
| JSON Web Tokens | Tests et manipulation de JWT |
| Turbo Intruder | Attaques haute vitesse avec Python |
| Hackvertor | Encodage/décodage avancé |
| Active Scan++ | Vérifications de scan actif supplémentaires |
| Collaborator Everywhere | Injecter des payloads Collaborator partout |
📚 Ressources supplémentaires
- Documentation officielle Burp Suite
- PortSwigger Web Security Academy — Formation gratuite
- BApp Store — Extensions
🕷️ Aide-mémoire Burp Suite terminé !
Vous disposez maintenant d'une référence complète pour l'outil de test d'applications web standard de l'industrie. De l'interception du trafic au scan automatisé, ces fonctionnalités sont ce que les professionnels de la sécurité utilisent au quotidien.
Prêt à tester votre prochaine application web !