Hacking Web

Burp Suite : Test d'Applications Web Professionnel

06 December 2025 22 min de lecture Chadow4 Chadow4
Burp Suite : Test d'Applications Web Professionnel

Burp Suite : Plateforme de Test Web

Burp Suite est l'outil leader pour les tests de sécurité d'applications web.

Installation

# Kali Linux (pré-installé)
burpsuite

# Téléchargement manuel
# https://portswigger.net/burp/communitydownload

Configuration Proxy

Firefox :

  1. Paramètres → Réseau → Paramètres de connexion
  2. Configuration manuelle du proxy
  3. Proxy HTTP : 127.0.0.1 Port : 8080
  4. Cocher "Utiliser ce serveur proxy pour tous les protocoles"

Installer le certificat CA :

  1. Naviguer vers http://burp
  2. Cliquer "CA Certificate"
  3. Firefox → Paramètres → Certificats → Importer
  4. Cocher "Faire confiance pour identifier des sites web"

Proxy

# Intercepter le trafic
Proxy → Intercept is on

# Exemple de requête interceptée
GET /login.php HTTP/1.1
Host: cible.com
User-Agent: Mozilla/5.0
Cookie: PHPSESSID=abc123

# Modifier et Forward
# Ou Drop pour bloquer

Repeater

# Envoyer vers Repeater
Clic droit sur requête → Send to Repeater

# Modifier la requête
POST /login.php HTTP/1.1
Host: cible.com
Content-Type: application/x-www-form-urlencoded

username=admin' OR '1'='1&password=test

# Send → Analyser réponse
HTTP/1.1 200 OK
Set-Cookie: session=xyz789
Location: /dashboard.php

Intruder

Types d'attaque :

  1. Sniper - Un payload, une position à la fois
  2. Battering Ram - Un payload, toutes positions
  3. Pitchfork - Plusieurs payloads, itération parallèle
  4. Cluster Bomb - Toutes les combinaisons

Exemple : Brute-force login :

# Requête
POST /login.php HTTP/1.1

username=§admin§&password=§pass§

# Positions marquées avec §§
# Type : Cluster Bomb
# Payload 1 : Liste usernames
# Payload 2 : Liste passwords

# Lancer Attack
# Analyser Status codes et Length

Scanner (Pro)

# Scan passif automatique
# Détecte :
- XSS
- SQL Injection
- CSRF
- Clickjacking
- Etc.

# Scan actif (manuel)
Clic droit → Scan

Extensions Utiles

# Autorize - Test autorisation
# Logger++ - Logging avancé
# Param Miner - Découverte paramètres
# Turbo Intruder - Attaques rapides
# JWT Editor - Manipulation JWT

Scénario : Test Injection SQL

# Étape 1 : Intercepter requête
GET /product.php?id=1 HTTP/1.1

# Étape 2 : Send to Repeater
# Modifier : id=1'
# Réponse : Erreur SQL → Vulnérable

# Étape 3 : Send to Intruder
# Position : id=§1§
# Payload : SQL injection payloads

# Étape 4 : Analyser résultats
# Chercher différences dans réponses

Conclusion

Burp Suite est essentiel pour les tests web. Maîtrisez Proxy, Repeater et Intruder.

#Kali Linux #Burp Suite

Commentaires (0)

Connectez-vous pour rejoindre la discussion.