Burp Suite : la plateforme de référence pour les tests de sécurité des applications web

    Home » Burp Suite : la plateforme de référence pour les tests de sécurité des applications web

Burp Suite : la plateforme de référence pour les tests de sécurité des applications web

in Articles

.

1. Qu’est‑ce que Burp Suite ?

Burp Suite est une suite logicielle complète pour la sécurité des applications web, développée en Java par PortSwigger. Elle agit comme un proxy entre le navigateur et le serveur, permettant d’intercepter, d’inspecter et de modifier le trafic HTTP/HTTPS en temps réel. L’outil se décline en trois versions : Community Edition (gratuite, avec les outils manuels de base), Professional Edition (payante, ajout du scanner automatique, d’Intruder complet et de fonctionnalités d’automatisation) et Enterprise Edition (pour l’intégration DAST dans les pipelines CI/CD). La version Community suffit pour apprendre et réaliser des tests manuels, mais la version Professional reste la référence en entreprise. ISOSET recommande aux professionnels de passer à la version Pro pour bénéficier du scanner automatisé et des fonctionnalités avancées.

2. Proxy : le cœur de l’interception

Le module Proxy est le point d’entrée de tout test avec Burp Suite. Il se place en intermédiaire (man‑in‑the‑middle) entre votre navigateur et l’application cible. Son fonctionnement repose sur la capture des requêtes et réponses HTTP/HTTPS, avec la possibilité de les visualiser, de les modifier à la volée ou simplement de les enregistrer pour analyse ultérieure.

Pour bien comprendre son rôle, il faut le décomposer en sous‑parties.

2.1 Intercept : la main sur le flux

L’onglet Intercept permet de mettre en pause le flux HTTP pour examiner et modifier chaque requête avant qu’elle ne parte vers le serveur, et chaque réponse avant qu’elle n’atteigne le navigateur. C’est particulièrement utile pour injecter manuellement des payloads XSS, des tentatives de SQL injection, ou pour modifier des paramètres cachés. Le bouton Intercept is on/off active ou désactive ce blocage. Lorsqu’il est activé, le flux s’arrête sur chaque requête ; une fois la requête modifiée, on clique sur Forward pour la relâcher, ou sur Drop pour l’abandonner.

La configuration de l’interception peut être affinée pour ne capturer que certaines requêtes (exclure des images, des CSS, des extensions). Dans les ateliers d’ISOSET, les apprenants apprennent à identifier les paramètres sensibles (tokens CSRF, champs de recherche) et à les modifier en direct.

2.2 HTTP History : la mémoire de la session

L’onglet HTTP History enregistre toutes les requêtes qui ont transité par le proxy, même lorsque l’interception est désactivée. Cette historique est une mine d’or pour la reconstitution du parcours de l’utilisateur, la recherche de endpoints non référencés, ou l’analyse des patterns de requêtes. Les colonnes (method, URL, status, length, MIME type, etc.) sont triables et filtrables. On peut également exclure certains items (images, CSS, JS) pour ne conserver que le trafic pertinent. À partir de l’historique, un simple clic droit permet d’envoyer une requête vers Repeater, Intruder, Scanner, ou de la marquer comme intéressante.

2.3 WebSockets History : les communications persistantes

De nombreuses applications modernes utilisent WebSockets pour des mises à jour temps réel. Burp Suite les intercepte également et les affiche dans un onglet dédié WebSockets History. Les messages WebSocket peuvent être visualisés, modifiés et rejoués, avec conservation de l’ordre des échanges. C’est une fonctionnalité essentielle pour tester les chat, les jeux en ligne ou les applications collaboratives.

2.4 Options et gestion des certificats

Pour que le proxy fonctionne correctement avec du HTTPS, Burp Suite génère un certificat CA qu’il faut importer dans le navigateur. Sans cette étape, chaque site HTTPS affiche une erreur de certificat. L’accès à http://burp/ depuis le navigateur configuré permet de télécharger le certificat (cacert.der). Une fois importé dans l’autorité de certification racine du navigateur, Burp peut décrypter et ré‑encrypter le trafic à la volée. ISOSET détaille cette configuration dans ses premiers modules pratiques.

Le paramétrage du proxy (port d’écoute, liaison à une interface spécifique, règles d’interception) se trouve sous l’onglet Proxy > Options. On peut également y configurer des règles d’affichage, des filtres par MIME type, ou des limites de taille.

3. Scanner : l’automatisation intelligente

Le Scanner est une fonctionnalité de Burp Suite Professional qui automatise la détection de vulnérabilités. Il peut être utilisé de deux manières :

  • Active scanning : Burp envoie des requêtes spécialement conçues (payloads) pour tenter de déclencher des vulnérabilités (SQL injection, XSS, path traversal, etc.). Cela nécessite des autorisations spécifiques car ces tests peuvent modifier des données ou surcharger l’application.
  • Passive scanning : Burp analyse les requêtes et réponses déjà échangées pour détecter des failles sans envoyer de requêtes supplémentaires (ex: cookies manquant le flag HttpOnly, révélations d’informations sensibles dans les en‑têtes, etc.).

Le scanner peut être lancé sur une URL particulière, sur l’ensemble du site mappé, ou de manière live : à chaque nouvelle requête découverte lors de la navigation, Burp l’analyse automatiquement.

Un paramétrage avancé permet d’ajuster la rapidité (scan léger, rapide ou profond), d’exclure certains types de tests, ou d’ignorer des chemins spécifiques. Les résultats sont regroupés par gravité (Critical, High, Medium, Low, Information) et par type de vulnérabilité. Chaque alerte contient la requête concernée, le payload ayant déclenché le problème, et une solution de correction. ISOSET forme également à l’interprétation des résultats du scanner pour éviter les faux positifs et prioriser les correctifs.

4. Intruder : le fuzzing paramétrable

Intruder est l’outil de test automatisé pour la modification en masse de paramètres. On l’utilise pour :

  • Fuzzing de paramètres (forcer des champs pour provoquer des erreurs).
  • Brute force de formulaires d’authentification.
  • Énumération d’identifiants ou de répertoires.
  • Test de dépassement de tampon ou d’injections complexes.

Le fonctionnement est simple : on capture une requête depuis le proxy, on l’envoie à Intruder, on place des marqueurs § autour de la partie à faire varier (ex: username=§admin§). Ensuite, on configure les payloads (listes de valeurs) : dictionnaire de mots de passe, séquences numériques, payloads d’injection SQL, etc. Enfin, on lance l’attaque. Intruder envoie autant de requêtes que de valeurs et affiche les résultats dans un tableau. On peut comparer les longueurs de réponse, les codes HTTP, les temps de réponse pour identifier un succès potentiel.

Intruder supporte plusieurs types d’attaques : Sniper (une seule position de payload), Battering ram (même payload sur plusieurs positions), Pitchfork (plusieurs payloads synchronisés), Cluster bomb (combinaisons de plusieurs dictionnaires). Les formats de payload peuvent être personnalisés : regex, hashing, encodage URL, etc.

La version Community d’Intruder est limitée (vitesse réduite, nombre de payloads restreint). La version Professional lève ces limitations et ajoute des fonctionnalités de gestion de session, de suivi des redirections, etc. ISOSET initie les jeunes à Intruder sur des plateformes d’entraînement comme HackTheBox.

5. Repeater : le laboratoire manuel

Repeater est l’outil pour la manipulation manuelle et la relecture de requêtes. Alors qu’Intruder va envoyer des centaines de variantes automatiquement, Repeater permet d’isoler une requête, de la modifier à loisir, et de l’envoyer à volonté. C’est le module idéal pour :

  • Vérifier finement une vulnérabilité suspectée.
  • Tester différentes variations d’une injection.
  • Supprimer ou ajouter des en‑têtes pour observer le comportement du serveur.
  • Jouer sur l’ordre des paramètres.

Une requête peut être envoyée vers Repeater depuis le Proxy (clic droit → Send to Repeater), depuis l’historique, ou depuis Scanner. Le module présente alors la requête sous forme modifiable. Chaque clic sur Send l’envoie et affiche la réponse correspondante dans le volet de droite, avec une coloration syntaxique. On peut conserver un historique des modifications et naviguer parmi elles.

Repeater supporte aussi les WebSockets, bien que leur manipulation soit plus simple via l’interface dédiée. Dans les formations avancées d’ISOSET, Repeater est utilisé pour diagnostiquer des vulnérabilités de dépassement de tampon ou de contournement de filtres.

6. Autres outils de la suite

6.1 Target : cartographier l’application

L’onglet Target affiche une arborescence du site ou de l’application testée, avec la liste de toutes les URLs découvertes (par le proxy, par le scanner ou par le spider). Un système de cercle coloré (rouge, orange, jaune, vert) indique le niveau de risque détecté par le scanner sur chaque nœud. On peut définir un scope (périmètre de test) pour limiter l’analyse à certaines URL. Le scope est configurable par inclusion ou exclusion de sous‑domaines, de chemins, ou via des expressions régulières. ISOSET recommande de toujours définir un scope pour éviter d’interagir accidentellement avec des ressources hors périmètre.

6.2 Decoder : manipuler les encodages

Decoder est un utilitaire de transcodage de données. Il peut décoder/encoder en URL, Base64, hexadécimal, HTML, etc. On peut y coller une chaîne, choisir l’opération, et voir le résultat immédiat. Cela est très utile pour décoder des tokens JWT (même si des extensions spécialisées existent), analyser des cookies chiffrés, ou préparer des payloads.

6.3 Comparer : visualiser les différences

Comparer affiche un diff entre deux messages (requêtes ou réponses). Il met en évidence les ajouts, suppressions, modifications de façon visuelle. Ceci est indispensable pour analyser les résultats de plusieurs tentatives d’intrusion et identifier quand un paramètre provoque un changement significatif dans la réponse.

6.4 Sequencer : analyser la robustesse des jetons

Sequencer évalue la qualité de l’aléa des jetons de session, identifiants, ou tokens CSRF. L’outil capture un certain nombre d’échantillons et réalise des tests statistiques (tests de bits, de répétition, de distribution). Il fournit ensuite un score sur la prévisibilité de la séquence. Une session token prévisible permet des attaques de fixation de session ou de prédiction. ISOSET utilise Sequencer pour auditer les mécanismes d’authentification des applications d’entreprise.

6.5 Collaborator : la détection hors‑bande

Collaborator est un service (local ou cloud) qui permet de détecter des interactions réseau hors‑bande (ex: requêtes DNS, HTTP, SMTP). Il est indispensable pour identifier des vulnérabilités invisibles dans la réponse directe, comme les injections SQL aveugles, les SSRF, ou les XXE. Collaborator génère des adresses uniques et attend des appels. Si un appel se produit, Burp le signale, confirmant la vulnérabilité. La version Pro de Burp inclut un Collaborator cloud ; la version Community peut en utiliser un local.

6.6 Logger : enregistrement exhaustif

Logger est un outil d’enregistrement plus puissant que l’historique du proxy. Il capture toutes les requêtes et réponses échangées par tous les modules de Burp (Proxy, Scanner, Intruder, etc.). On peut y appliquer des filtres avancés (seulement les requêtes ayant généré une alerte haute, seulement les réponses de code 500, etc.). Logger est particulièrement utile pour auditer des tests longs ou partager des journaux avec une équipe.

7. Extensions : l’écosystème BApp Store

Burp Suite est extensible via des BApps (Burp extensions). Le BApp Store, accessible depuis l’onglet Extender, liste des centaines d’extensions écrites par la communauté. On peut les installer en un clic. On peut aussi développer ses propres extensions en Java (via l’API Burp), Python (via Jython) ou Ruby (via JRuby). Les extensions les plus utiles pour les pentesters incluent :

  • Active Scan++ : améliore le scanner actif avec des tests supplémentaires.
  • Logger++ : version améliorée de Logger avec des filtres plus puissants.
  • Autorize : test automatique des contrôles d’accès (failles d’autorisation).
  • InQL : introspecteur GraphQL pour auditer les APIs GraphQL.
  • Turbo Intruder : version ultra‑rapide d’Intruder, capable d’envoyer des milliers de requêtes en parallèle.
  • Reflected Parameters : détection automatique de paramètres reflétés dans la réponse.
  • Bypass WAF : règles de contournement de pare‑feu applicatif.

Les extensions sont développées et maintenues par des tiers ; PortSwigger les passe en revue mais ne garantit pas leur sécurité. ISOSET recommande de n’installer que les extensions vérifiées et de les obtenir depuis le BApp Store officiel.

8. Méthodologie d’un test d’intrusion avec Burp Suite

Un test d’intrusion web efficace s’articule en plusieurs phases, Burp Suite offrant des outils pour chaque étape.

Étape 1 : Mise en place du proxy et configuration du scope

  • Configurer le navigateur (ou utiliser le navigateur intégré de Burp) pour utiliser le proxy localhost:8080.
  • Importer le certificat CA de Burp pour le HTTPS.
  • Définir le scope (Target → Scope) en incluant uniquement les domaines et chemins autorisés.
  • Démarrer l’interception ou simplement l’enregistrement (selon la stratégie).

Étape 2 : Navigation automatique (Spider ou crawling passif)

Dans la version Pro, le scanner peut effectuer un crawl automatique de l’application pour découvrir toutes les URLs. On peut aussi utiliser le spider intégré (bien que plus lent). Le résultat est une arborescence dans Target qui permet de visualiser la structure du site.

Étape 3 : Analyse manuelle de l’attaque

  • Surveiller l’historique HTTP : repérer les formulaires, les paramètres cachés, les endpoints d’upload de fichiers, les endpoints d’administration.
  • Utiliser Repeater pour modifier manuellement certaines requêtes critiques (authentification, profils, recherche) et observer les réponses.
  • Injecter des payloads simples (ex: ' ) pour détecter des erreurs SQL.

Étape 4 : Fuzzing automatisé (Intruder)

Pour chaque paramètre suspect, lancer Intruder avec des dictionnaires de payloads adaptés : SQL injection, XSS, path traversal, etc. On peut aussi fuzzer les paramètres GET, POST ou les headers. Les résultats sont analysés par longueur, code HTTP, ou présence de certains mots dans la réponse.

Étape 5 : Scan automatique (Professional)

Lancer un scan actif sur les points d’entrée détectés. Le scanner essaie de nombreuses attaques en parallèle. Il faut toutefois surveiller les logs du serveur pour ne pas le surcharger, et ne lancer le scan actif que sur des applications qui le permettent (pas en production critique).

Étape 6 : Exploitation et validation

Les vulnérabilités suspectées ou détectées par le scanner doivent être vérifiées manuellement via Repeater. On peut également utiliser des extensions comme Collaborator pour valider des vulnérabilités aveugles. Une fois une vulnérabilité confirmée, on la documente avec une preuve de concept (capture d’écran de la modification et de la réponse). ISOSET forme une méthodologie rigoureuse de validation manuelle pour éviter les faux positifs.

Étape 7 : Rapport

Burp peut générer des rapports (HTML, XML) contenant la liste des vulnérabilités, avec leur description, leur impact, la preuve de concept et les recommandations. On peut exporter le rapport directement depuis l’onglet Target > Issues. Ce gain de temps est très appréciable pour les tests professionnels.

9. Bonnes pratiques et astuces

  • Définir un scope strict – évite d’interagir avec des domaines tiers ou de saturer l’historique de requêtes inutiles.
  • Envoyer systématiquement une requête de base dans Repeater avant toute modification – permet de comparer le comportement original et modifié.
  • Configurer des filtres d’historique – ne conserver que les requêtes HTTP avec des codes 200, 403, 500 ou celles contenant certains mots (ex: errorexception).
  • Utiliser les raccourcis clavier – Ctrl+U pour envoyer à Repeater, Ctrl+I pour envoyer à Intruder, Ctrl+Shift+I pour envoyer à Comparer.
  • Nettoyer régulièrement l’historique – pour éviter que l’interface ne devienne trop lente.
  • Ne pas laisser le scanner actif tourner longtemps sur une application de production sans surveillance – un bug dans l’application pourrait la déstabiliser.
  • Profiter des sessions de projet – la version Pro permet de sauvegarder tout l’état du projet (requêtes, découvertes, paramétrages) dans un fichier .burp. Cela permet de reprendre le test après une interruption.

Ces conseils sont systématiquement mis en œuvre dans les ateliers pratiques d’ISOSET.

10. Se former à Burp Suite avec ISOSET

Burp Suite est un outil incontournable du pentester web. Mais sa richesse fonctionnelle peut intimider le débutant. Maîtriser le proxy, le scanner, Intruder, Repeater et les extensions, c’est la porte d’entrée vers des tests de sécurité efficaces.

ISOSET propose des formations pratiques :

  • Burp Suite – Initiation (1 jour) : installation, configuration du proxy, interception, historique, Repeater, découverte de vulnérabilités simples.
  • Burp Suite – Perfectionnement (2 jours) : Intruder avancé, scanner, extensions (BApp Store), collaboration d’équipe, génération de rapports.
  • Intégration CI/CD : utiliser Burp Scanner dans un pipeline DevOps (Jenkins, GitLab CI) via Burp Enterprise.

L’originalité d’ISOSET est d’apprendre sur des plateformes d’entraînement comme Web Security Academy (PortSwigger) et HackTheBox, avec des cas d’usage concrets. Les formateurs sont des pentesters certifiés (OSCP, Burp Certified Practitioner). Chaque stagiaire repart avec des ateliers de laboratoires, des cheat sheets, et un accès à des travaux pratiques supplémentaires. Les témoignages d’anciens apprenants confirment que cette approche leur a permis de décrocher des certifications reconnues et d’intégrer des équipes de sécurité.

Conclusion

Burp Suite est la plateforme de référence pour les tests d’intrusion web. Sa force réside dans l’intégration transparente de nombreux outils : proxy, scanner, Intruder, Repeater, Collaborator, et un vaste catalogue d’extensions. Maîtriser ces modules et les articuler dans une méthodologie rigoureuse (définition du scope, crawling, analyse manuelle, fuzzing, scan automatisé, validation) permet de détecter des vulnérabilités moindres et de gagner en efficacité. Les professionnels formés par ISOSET sont capables non seulement d’utiliser l’outil, mais aussi d’interpréter les résultats, de les valider manuellement, et de prioriser les correctifs. Qu’il s’agisse de bug bounty, d’audit interne ou de test d’acceptation de sécurité, Burp Suite reste l’arme principale du pentester web.

© ISOSET — Organisme de formation professionnelle
LinkedIn | Facebook | Instagram

Comments are closed.