Introduction : Pourquoi Burp, et pourquoi maintenant ?
Petite intro engageante sur les outils de pentest web, leur explosion avec la démocratisation des tests d’intrusion applicatifs, et comment Burp est devenu un incontournable (notamment dans les CTF, les audits pro, etc.).
I. Qu’est-ce que Burp Suite ?
- Développé par PortSwigger
- Versions Community, Professional, Enterprise
- Interface modulaire : Proxy, Repeater, Intruder, Decoder, Comparer, Scanner…
- Burp Collaborator : un service souvent méconnu
II. Installation & Configuration de Base
- Téléchargement (lien officiel)
- Lancement :
java -jar burpsuite_community_v2025.1.jar- Configuration du proxy sur navigateur :
- Firefox : localhost:8080
- Certificat SSL à importer pour éviter les alertes HTTPS
- Exemple de configuration sur Linux avec iptables pour rediriger le trafic :
bash
iptables -t nat -A OUTPUT -p tcp --dport 80 -j REDIRECT --to-port 8080III. Les Modules Clés en Action
📌 Proxy
- Observation du trafic en temps réel
- Interception, modification à la volée
- Exemple : intercept et modif d’un POST de connexion
🔁 Repeater
- Test manuel de payloads
- Démo :
injection SQL simple
POST /login HTTP/1.1 Host: vulnsite.local Content-Type: application/x-www-form-urlencoded username=admin'--&password=test
💣 Intruder
- Attaques automatisées
- Exemple de brute force sur un login basique
🔬 Scanner (version Pro)
- Détection automatique de vulnérabilités (XSS, SQLi, CSRF…)
🎣 Burp Collaborator
- Détection d’attaques SSRF, OOB, DNS log
- Exemple d’exploitation SSRF avec récupération DNS
IV. Étendre Burp avec BApp Store
- Présentation de quelques extensions utiles :
- Autorize pour gérer les tokens
- ActiveScan++ pour des scans plus profonds
- JSON Beautifier, Logger++
- Comment installer une extension
V. Automatiser avec l’API (Pro)
- Présentation rapide de l’API REST de Burp Pro
- Exemple de script Python pour lancer un scan :
pythonimport requests headers = {'Authorization': 'Bearer YOUR_API_KEY'} data = {"scan_configurations": [{"name": "Fast"}], "urls": ["https://site.local"]} response = requests.post("https://localhost:1337/v0.1/scan", json=data, headers=headers, verify=False) print(response.json())VI. Cas Pratiques : Burp dans un audit réel
- Test d’une application avec formulaire de login, recherche vulnérable, cookie JWT
- Exploitation XSS ou SQLi simple
- Analyse de la réponse et pivot avec Repeater
VII. Conseils, pièges à éviter, et bonnes pratiques
- Ne pas oublier de filtrer le scope
- Attention aux DoS involontaires avec Intruder
- Comment anonymiser ses tests (proxy, VPN…)
Conclusion
Résumé de l’utilité de Burp, ses forces, quelques alternatives (OWASP ZAP, notre article), et encouragement à l’utiliser au quotidien même hors pentest (debug HTTP, tests d’API, etc.)
🔗 Site officiel de Burp Suite (PortSwigger)
👉 https://portswigger.net/burp
C’est là que vous trouverez :
- Les différentes versions (Community, Professional, Enterprise)
- Les téléchargements
- Le BApp Store (extensions)
- Les outils en ligne comme Burp Collaborator ou Web Security Academy
📘 Documentation officielle de Burp Suite
👉 https://portswigger.net/burp/documentation
Vous y découvrirez des sections dédiées à :
- L’installation et la configuration
- Chaque outil (Proxy, Repeater, Scanner…)
- L’API REST de Burp Suite Pro
- Les guides sur la sécurité HTTPS, les tests API, etc.
Et pour aller plus loin voici un tutoriel interactif :
🧠 Web Security Academy (gratuite) par PortSwigger
👉 https://portswigger.net/web-security
C’est une mine d’or pour tester Burp en situation réelle avec des labs pratiques.
