📋 Fiche Outil : Burp Suite

📋 Note

Burp Suite agit comme un Man-in-the-Middle (MITM) entre ton navigateur et le serveur. Si tu ne configures pas le certificat, tous les sites HTTPS échoueront (car ton navigateur verra un certificat non-signé). Pense à désactiver le proxy dans ton navigateur quand tu as fini, sinon tu n’auras plus accès à Internet !

🎯 Objectif Principal

Burp Suite est la « boîte à outils » indispensable du pentester web. Son objectif principal est de s’asseoir entre ton navigateur et le site web cible pour intercepter, analyser, modifier et rejouer les requêtes HTTP/HTTPS. C’est l’outil de base pour trouver manuellement des failles comme les Injections SQL, XSS, IDOR, et les contrôles d’accès défaillants.

Port Local
bash
LocalHost : 8080

Description

Définition

Burp est une application graphique (GUI), elle n’a pas de « syntaxe » comme gobuster. Son utilisation est basée sur un workflow (flux de travail) entre ses différents modules.

Le workflow le plus courant est :

  1. Navigateur : Tu effectues une action (ex: se connecter).
  2. Proxy > HTTP History : Tu repères la requête intéressante.
  3. Clic-droit : Tu envoies la requête vers un autre outil…

Send to Repeater (pour la modifier manuellement).
Send to Intruder (pour l’automatiser/fuzzer).

Les Modules Clés

**Proxy :**

Contents Le cœur de l’outil. C’est là que tu vois l’historique de ton trafic (HTTP history) et que tu peux intercepter les requêtes en temps réel (Intercept).

**Repeater (Répéteur) :**

Ton « laboratoire » manuel. Tu envoies une requête ici, tu la modifies (ex: changer un ID utilisateur, ajouter un ' pour un test SQLi) et tu cliques sur « Send » pour voir la réponse. Tu y passes 80% de ton temps.

**Intruder (Intrus) :**

L’outil d’automatisation. Tu l’utilises pour le bruteforce (ex: mots de passe, 2FA) ou le fuzzing (ex: tester des milliers de payloads sur un paramètre).

**Decoder (Décodeur) :**

Un utilitaire pour convertir rapidement du texte (Base64, URL-decode, Hex, etc.).

**Comparer (Comparateur) :**

Un outil pour « différencier » (comparer) deux requêtes ou deux réponses (très utile pour voir des changements subtils).

# Mise en Place & Configuration Initiale

Avant de pouvoir tester quoi que ce soit, tu dois forcer ton navigateur à communiquer _à travers_ Burp.

**1. Configurer Burp (Le "Listener")**
  • Dans Burp, va dans l’onglet Proxy > Options.
  • Vérifie que tu as un « Proxy Listener » actif sur 127.0.0.1 port 8080. C’est le cas par défaut.
**2. Configurer le Navigateur (Le "Client")** Tu dois dire à ton navigateur d'envoyer tout son trafic vers 127.0.0.1:8080.
  • Méthode Recommandée (Firefox + FoxyProxy) :

– Installe l’extension de navigateur FoxyProxy.
– Dans FoxyProxy, crée un nouveau profil (ex: « Burp »).
– Rentre l’IP : 127.0.0.1 (ton 127.0.0.0 est l’adresse réseau, l’IP de loopback est 127.0.0.1).
– Rentre le Port : 8080
– Maintenant, tu peux activer/désactiver le proxy en un clic depuis la barre d’outils.

**3. Installer le Certificat (Pour le HTTPS)** C'est l'étape la plus importante.
  • Active le proxy dans ton navigateur (via FoxyProxy).
  • Dans Burp, assure-toi que l’interception est désactivée (onglet Proxy > Intercept > Intercept is off).
  • Dans ton navigateur, va à l’adresse http://burp (ton http://burpsuite est l’ancien lien, le nouveau est plus court).
  • Clique sur le bouton « CA Certificate » en haut à droite pour télécharger le fichier cacert.der.
  • Dans Firefox : Va dans Paramètres > Vie privée et sécurité > (tout en bas) Afficher les certificats...
  • Dans l’onglet Autorités, clique sur Importer…
  • Sélectionne le fichier cacert.der que tu viens de télécharger.
  • IMPORTANT : Coche la case « Faire confiance à cette autorité de certification pour identifier les sites Web ».
  • Valide.

Tu es prêt. Recharge n’importe quel site HTTPS : il devrait se charger sans erreur, et tu devrais voir le trafic apparaître dans l’onglet HTTP history de Burp.

Paramètre (Flag)

  • Ctrl + R : Envoyer la requête au Repeater.
  • Ctrl + I : Envoyer la requête à l’Intruder.
  • Proxy > Intercept is on / off : Le bouton principal pour activer ou désactiver l’interception en temps réel.

Exemple

Exemple 1

**Objectif :** Tenter de voir le profil d'un autre utilisateur en changeant un ID.

  1. Tu te connectes à monsite.com en tant que user1.
  1. Tu cliques sur « Mon Profil ». L’URL est https://monsite.com/profil?user_id=101.
  1. Dans Burp > Proxy > HTTP History, tu vois cette requête : GET /profil?user_id=101.
  1. Tu fais un clic-droit > Send to Repeater.
  1. Tu vas dans l’onglet Repeater.
  1. Tu modifies la requête pour changer user_id=101 en user_id=102.
  1. Tu cliques sur Send.
  1. Tu analyses la Réponse (Response). Si tu vois les informations du user2 (celui avec l’ID 102), tu as trouvé une faille IDOR (Insecure Direct Object Reference).

Cours

Extension

  • Télécharger l’extension : Sharpener sous burpsuite pour qu’il puissent fonctionne avec l’extension Pwnfox dans firefox