Burp Suite

Informations
Dernière version	2023.5.1 (19 mai 2023)
Écrit en	Java
Type	Web application security scanner (en)
Politique de distribution	Freemium (Community ; Professional ; Enterprise)
Site web	portswigger.net/burp

Burp Suite est une application Java, développée par PortSwigger Ltd, qui peut être utilisée pour la sécurisation ou effectuer des tests de pénétration sur les applications web^[2]^,^[3]. La suite est composée de différents outils comme un serveur proxy (Burp Proxy), robot d’indexation (Burp Spider), un outil d'intrusion (Burp Intruder), un scanner de vulnérabilités (Burp Scanner) et un répéteur HTTP (Burp Repeater)^[4].

Serveur proxy modifier

Lorsqu'elle est utilisée comme un serveur proxy, la suite Burp permet à l'utilisateur de manipuler le trafic qui passe au travers de celui-ci i.e. entre le navigateur web et le serveur. Cette disposition est communément appelée attaque de l'homme du milieu (Man In The Middle, en anglais). L'application utilise une interface permettant aisément la manipulation des données échangées dans les deux sens. Grâce à cette fonctionnalité, il est possible d'injecter des données non-conformes dans l'objectif de provoquer un comportement anormal de l'application et donc d'en identifier les bugs et vulnérabilités associées.

Robot d'indexation modifier

Le robot d'indexation permet d'initier des connexions avec l'application web, d’examiner les cookies et d'en parcourir les pages afin d'identifier sa structure interne.

Outil d'intrusion modifier

L’outil d'intrusion permet d'automatiser des attaques paramétrées sur l'application web. Le testeur d'intrusion doit avoir une connaissance détaillée du fonctionnement de l'application et du protocole HTTP pour permettre l'attaque avec succès. L'outil offre la possibilité de créer des requêtes HTTP nuisible pour l'application. Il peut également aider à la détection des injections SQL, à l'exploitation de vulnérabilités de type cross-site scripting, permettre la manipulation des paramètres HTTP ainsi que des attaques par recherche exhaustive.

Répéteur HTTP modifier

Le répéteur est un outil simple permettant de renvoyer des requêtes HTTP selon un paramétrage défini afin d'observer le comportement de l'application web et en identifier les vulnérabilités.

Séquenceur modifier

Le séquenceur est un outil destiné à l'analyse du degré d'aléatoire des jetons de session émit par l'application mais également des nonces cryptographiques et autres éléments aux valeurs normalement imprédictibles.

Voir aussi modifier

Références modifier

↑ (en) « Burp Suite Releases » (consulté le 19 mai 2023)
↑ (en) « Burp Suite », sur PortSwigger Web Security, PortSwigger Ltd., 2014 (consulté le 13 septembre 2014).
↑ (en) « 10 outils de hacking pour les experts : burp suite ».
↑ (en) « "Burp Suite : About page" », sur portswigger.net (consulté le 24 février 2016).

Liens externes modifier

Burp Suite

[wikidata-677701444373c4c2e4102885052c06aa603d92c4-1] (en) « Burp Suite Releases » (consulté le 19 mai 2023)

[2] (en) « Burp Suite », sur PortSwigger Web Security, PortSwigger Ltd., 2014 (consulté le 13 septembre 2014).

[3] (en) « 10 outils de hacking pour les experts : burp suite ».

[4] (en) « "Burp Suite : About page" », sur portswigger.net (consulté le 24 février 2016).

[2]

[3]

[4]

[1]

Dernière version	2023.5.1 (19 mai 2023)^[1]
Écrit en	Java
Type	Web application security scanner (en)
Politique de distribution	Freemium (Community ; Professional ; Enterprise)
Site web	portswigger.net/burp