Quest-ce que Burp Suite ?

Burp Suite est une suite d'outils de PortSwigger conçue pour faciliter les tests de pénétration des applications Web sur HTTP et HTTPS. L'outil principal est un proxy conçu pour permettre l'analyse et l'édition du trafic Web. Le proxy peut intercepter les demandes et les réponses Web, les lire et les modifier en temps réel avant qu'elles n'atteignent leurs destinations respectives. Des versions sont disponibles pour Windows, MacOS et Linux, ainsi qu'un fichier JAR.

Le proxy lui-même vous permet de configurer quels domaines ont leur trafic Web intercepté et quel type de trafic est affiché. Par exemple, l'interception des demandes Web est utile car vous pouvez les modifier pour tester la réaction du site Web aux demandes inhabituelles, mais en interceptant les réponses car il n'y a aucun intérêt à les modifier.

De nombreux outils inclus dans Burp Suite sont conçus pour s'intégrer au proxy principal et peuvent recevoir des requêtes importées. Intruder vous permet d'importer une demande, puis de configurer l'organisation des charges utiles à tenter et peut ensuite les exécuter automatiquement. Repeater vous permet d'importer une requête Web, puis d'y apporter des modifications manuelles et de voir la réponse côte à côte, ce qui vous permet de faire des ajustements mineurs aux tentatives d'exploit et de voir facilement si cela fonctionne. Une fonction de tableau de bord affiche une liste des problèmes identifiés, bien que ceux-ci doivent être vérifiés manuellement pour les faux positifs.

Astuce : Le suivi des problèmes est une fonctionnalité premium, tandis que les attaques automatisées sont limitées dans la version gratuite.

Sequencer est conçu pour analyser le caractère aléatoire des données telles que les identifiants de session, les jetons CSRF et les jetons de réinitialisation de mot de passe. L'analyse nécessite plus de 100 échantillons, mais peut identifier des faiblesses dans la manière dont les valeurs supposées aléatoires sont générées. Le décodeur vous permet de décoder des chaînes à partir d'une gamme de normes d'encodage ainsi que d'encoder à nouveau les données. Comparer vous permet de comparer deux chaînes pour vérifier les différences mineures.

Une large gamme d'extensions écrites par la communauté est disponible gratuitement depuis l'application, bien que certaines nécessitent des fonctionnalités limitées à la version payante de Burp Suite. La version gratuite de Burp Suite prend en charge la plupart des fonctionnalités, une licence professionnelle pour déverrouiller toutes les fonctionnalités coûte 399 $ par an, tandis qu'une «édition entreprise» coûte 3999 $ par an, plus 399 $ par agent d'analyse qui ne peut être ajouté que par lots de 10.