Burp Suite

Pourquoi c'est important

Le navigateur est conçu pour les utilisateurs, pas pour les testeurs. Il encode l'entrée, suit les redirections et affiche une page d'erreur conviviale tout en laissant tomber discrètement les traces de pile et les erreurs de base de données que le serveur renvoie. Burp Suite supprime ce filtre. En tant que proxy d'interception, il vous montre les octets exacts qui quittent votre machine et les octets exacts que le serveur renvoie, c'est-à-dire là où la divulgation d'information, l'injection SQL, le contournement d'authentification et l'IDOR deviennent visibles.

Pour quiconque apprend la sécurité offensive ou débute en bug bounty, Burp Suite est généralement le premier outil professionnel adopté, parce que presque toute découverte web manuelle commence par la lecture ou la modification d'une requête en son sein. Conçu par PortSwigger, il est devenu le langage commun du test web : quand un chercheur dit qu'il a "envoyé la requête à Repeater" ou qu'il l'a "passée dans Intruder", tous les autres testeurs savent exactement ce qu'il a fait.

Outils principaux

Burp Suite n'est pas une fonctionnalité unique mais un ensemble d'outils qui partagent le trafic capturé :

• Proxy : intercepte le trafic entre le navigateur et le serveur afin que vous puissiez mettre en pause, lire et éditer chaque requête avant son envoi. L'historique du proxy est aussi une carte complète de chaque point de terminaison appelé par l'application, y compris ceux déclenchés silencieusement par JavaScript.
• Repeater : vous permet de renvoyer une seule requête encore et encore avec de petites modifications, le cheval de bataille du parameter tampering et du sondage manuel.
• Intruder : automatise l'envoi de nombreux payloads dans des positions choisies, utile pour fuzzer les paramètres, énumérer des identifiants et tester des valeurs par force brute.
• Decoder et Comparer : encodent, décodent et comparent les données pour comprendre les jetons et repérer de subtiles différences entre deux réponses.
• Scanner (Professional uniquement) : explore et teste automatiquement les classes de vulnérabilités courantes, puis signale les problèmes confirmés et provisoires.

Un flux de travail typique

Un vrai test commence rarement par un payload exotique. Il commence par la lecture. Vous parcourez l'application normalement pendant que Burp enregistre chaque requête, puis vous en choisissez une intéressante, par exemple un POST /api/reviews/vote qui transporte un reviewId numérique. Vous l'envoyez à Repeater, ajoutez une apostrophe à l'identifiant et renvoyez. Si la réponse passe d'un 200 OK propre à un 500 porteur d'une erreur de base de données, vous avez trouvé une divulgation d'information que le navigateur aurait cachée derrière un message générique. Cette boucle, capturer, modifier, renvoyer, lire, est le coeur du test d'intrusion d'application web.

Community contre Professional

Burp Suite Community Edition est gratuit et inclut le Proxy, Repeater et Decoder, qui couvrent chaque technique manuelle dont un débutant a besoin. Burp Suite Professional ajoute le scanner automatisé, un Intruder sans bridage, les projets enregistrés et le BApp store d'extensions, où vivent des outils comme les extensions de contournement 403 et les testeurs d'autorisation. Vous pouvez apprendre et pratiquer tout le flux de travail manuel sur la Community Edition avant de décider si la licence Professional en vaut la peine pour votre travail.

Comment démarrer

Installez Burp Suite, configurez votre navigateur pour acheminer le trafic à travers le proxy, puis installez le certificat CA de Burp pour que le trafic HTTPS soit lisible. Parcourez la cible normalement et regardez l'historique des requêtes se remplir. À partir de là, vous interceptez une requête, l'envoyez à Repeater, changez une valeur à la fois et lisez la réponse brute. Associez l'outil aux labos gratuits de la PortSwigger Web Security Academy pour pratiquer chaque classe de vulnérabilité en toute sécurité et en toute légalité avant même de toucher à un programme en production.