Burp Suite — Proxy d'interception web
★★★★★
Qu'est-ce que Burp Suite ?
Burp Suite est l'outil de référence pour les tests d'intrusion web. Il agit comme un proxy entre votre navigateur et le serveur cible, permettant d'intercepter, modifier et rejouer des requêtes HTTP. La version Community est gratuite.
Fonctionnalités clés
Proxy : intercepter et modifier requêtes/réponses
Repeater : rejouer une requête avec modifications
Intruder : attaques automatisées (brute force, fuzzing)
Scanner : détection auto de vulnérabilités (Pro)
Decoder : encoder/décoder base64, URL, hex...
Comparer : diff entre deux réponses
Extender : plugins (turbo intruder, active scan++) Workflow typique
1. Configurer le proxy (127.0.0.1:8080)
2. Installer le certificat CA Burp dans le navigateur
3. Naviguer sur la cible -> cartographier les endpoints
4. Identifier les points d entrée (params, cookies, headers)
5. Tester avec Repeater -> modifier manuellement
6. Automatiser avec Intruder pour fuzzing/brute force Tips avancés
# Turbo Intruder : fuzzing ultra rapide
# Settings -> Extensions -> Add -> turbo_intruder.py
# Match/Replace : modifier automatiquement toutes les requêtes
# Proxy -> Options -> Match and Replace
# Scope : limiter la capture à une cible
# Target -> Scope -> Include -> target.com