Tutoriel: Burp Suite – Premières étapes
8 mins read

Tutoriel: Burp Suite – Premières étapes

98uy7jhn540Tagged , , , ,


Vous voulez propulser votre carrière informatique? Réservez un appel gratuit pour découvrir comment obtenir la certification Cisco CCNA en 12 semaines avec notre soutien personnalisé.

Table des matières

Bienvenue dans ce tutoriel où nous allons explorer Burp Suite, un outil essentiel pour analyser et sécuriser les applications Web. Nous procéderons étape par étape, sur la base de la documentation officielle de Burp Suite, tout en vous offrant des analogies simples pour faciliter la compréhension. À la fin de ce guide, vous saurez l’installer, intercepter et modifier les requêtes HTTP, et donc mieux comprendre le fonctionnement d’une application Web.

Pourquoi utiliser Burp Suite?

Imaginez que vous êtes un explorateur qui veut cartographier un territoire inconnu. Burp Suite est votre trousse à outils € ¯: il vous fournit la boussole (le Procuration), la carte (leHISTOIRE DE HTTP), et la loupe (les fonctions de Modification des requêtes). Avec lui, vous pouvez découvrir des sentiers cachés (vulnérabilités), vérifier la validité d’un chemin (demandes et réponses de test) et, si nécessaire, ouvrir de nouveaux chemins (exploiter ou corriger les défauts).

Configuration requise

Selon la documentation, la configuration nécessaire dépend de l’utilisation que vous souhaitez faire à partir de Burp Suite

  1. Configuration minimale

    • Processeur– 2 coeurs 2 coeurs
    • Ram (Ram)«€ ¯: 4 Go
    • Espace à disque gratuit : 1 Go pour l’installation + au moins 2 Go par projet
    • Recommandé pour: Proxy simple, petites attaques d’intrus, apprentissage de base.

  2. Configuration recommandée

    • Processeur– 2 coeurs 2 coeurs
    • Ram (Ram)«€ ¯: 16 Go
    • Espace à disque gratuit : 1 Go pour l’installation + 2 Go ou plus par projet
    • Meilleur équilibre pour la plupart des utilisations (analyses et analyses régulières).

  3. Configuration avancée

    • Processeur«€ ¯: 4 coeurs
    • Ram (Ram)«€ ¯: 32 Go
    • Parfait pour exécuter plusieurs analyses automatisées, gérer des applications plus grandes ou effectuer des attaques d’intrus complexes.

  4. Compatibilité du système d’exploitation

    • Windows (Intel 64 bits)

    • Linux (Intel et ARM 64 bits)

    • macOS (Intel 64 bits et Apple M1)

    • Note : L’exécutable Burp Suite Jar n’est pas compatible avec les systèmes Apple Silicon / ARM64 si vous souhaitez utiliser le navigateur intégré. Dans ce cas, il est conseillé d’installer Burp à partir du programme d’installation natif.

Pensez à ces configurations un peu comme la puissance d’un moteur de voiture € ¯: plus vous souhaitez monter les côtes (effectuer des analyses complexes), plus vous avez besoin d’un moteur puissant (RAM et CPU).

Suite d’installation de Burp

Étape 1: Télécharger

  • Visitez la page de téléchargement officielle de Burp Suite.
  • Choisissez votre éditiona € ¯: Professionnel (outils plus avancés) ou Édition communautaire (version gratuite).

Étape 2: Installation

  • Exécutez le fichier d’installation pour votre plate-forme (Windows, Linux ou MacOS).
  • Lancez Burp Suite.
  • Lorsque Burp vous demande de sélectionner un fichier de projet et une configuration, cliquez sur Suivant Alors Commencer Burp Pour ignorer, si vous commencez.

Étape 3: Premier pas

  • Une fois le burp continué, vous arriverez sur une interface offrant différentes fonctionnalités (proxy, intrus, scanner, etc.).
  • Nous nous concentrerons principalement sur Proxy en rotation pour commencer.

Intercepter le trafic HTTP avec Burp Proxy

Burp Proxy est comme un portier qui contrôle tout ce qui entre et quitte votre application Web. Il vous donne la possibilité de voir et d’intercepter chaque demande (que vous envoyez) et chaque réponse (ce que vous recevez), comme un agent de douane examinant soigneusement tous les packages qui entrent ou quittent un pays.

Étape 1: Lancez le navigateur intégré de Burp

  1. En burp, allez à l’onglet Proxy> interception.
  2. Activez le bouton Intercepter (L’interception).
  3. Cliquer sur Navigateur ouvert Pour lancer le navigateur Burp, déjà configuré pour intercepter vos demandes.

Étape 2: Demander une demande

  1. Dans le navigateur Burp, essayez de visiter un site, par exemple Portswigger.net.
  2. Vous verrez que la page ne s’occupe pas immédiatement de € ¯: Burp Proxy a intercepté la demande.
  3. Dans l’onglet Proxy> interceptionVous pouvez étudier la demande avant de la transmettre au serveur.

Étape 3: Transmettre (vers l’avant) la demande

  • Cliquer sur Avant Pour envoyer la demande au serveur.
  • Cliquez à nouveau si d’autres demandes sont interceptées.
  • La page doit enfin prendre soin du navigateur.

Étape 4: Désactiver l’interception

  • Fer Intercepter sur Désactivé.
  • Naviguez à nouveau sur le site – € ¯: les demandes sont désormais librement passées.

Étape 5: Examiner l’histoire de HTTP

  • En burp, ouvrez l’onglet Proxy> HISTOIRE DE HTTP.
  • Vous y trouverez la liste de toutes les demandes et réponses qui se sont écoulées, même celles non interceptées.
  • Cliquez sur toute entrée pour voir le contenu brut (demande et réponse).

Modifier les requêtes

L’une des forces de la suite Burp est la possibilité de modifier les demandes HTTP à la volée. C’est un peu comme changer la lettre d’un package avant de l’expédier € ¯: vous testez les réactions du destinataire (le serveur) en différents scénarios.

Exemple pratique: modifiez le prix d’un produit dans un site de commerce électronique fictif

ours NB: Accès à Labs de Portswigger Nécessite Création d’un compte ðÿ † ».
Âœ Bonnes nouvelles : C’est gratuit ðÿž ‰!

  1. Accéder au site vulnérable

  2. Connecter

    • Identifiez-vous à:
      • Nom d’utilisateur : Wiener
      • Mot de passe : Peter
    • Vous verrez que votre crédit est de 100 ans.

  3. Choisissez un produit

    • Retournez à la réception du site (maison) et localisez la veste en cuir “” “l33t “”.

  4. Intercepter et modifier la demande «Ajouter au panier»

    • En burp, commutateur Intercepter sur Sur.
    • Dans le navigateur, cliquez pour ajouter la veste à votre panier.
    • De retour sur Burp, vous verrez la demande interceptée Poste / chariot avec un paramètre prix ce qui indique le prix en cents.

  5. Modifier le paramètre

    • Modifier la valeur de prix dans 1 (c’est-à-dire 1 cent).
    • Cliquer sur En avant> tout Pour envoyer la demande modifiée au serveur.
    • Puis remis Intercepter surDésactivé.

  6. Notez le résultat

    • Dans le navigateur, ouvrez votre panier (icône de basket-ball).
    • Le prix de la veste n’est que de 0,01 »$ -!
    • Vous pouvez valider la commande.

Félicitations, vous venez d’exploiter un défaut dans un site de démonstration et vous avez appris à modifier les demandes HTTP avec Burp Proxy.

Comme vous pouvez le voir, Burp Suite est un excellent couteau suisse pour tout analyste ou pentes. Il vous permet d’examiner, d’expérimenter et de renforcer la sécurité des applications Web. L’étape suivante pourrait être d’explorer d’autres modules (intrus, répétition, scanner, etc.) et approfondir les techniques d’audit plus avancées.

Et maintenant vous jouez!

Nous aimerions savoir ce qui vous intéresse pour l’avenir.

  • Quel sujet de plus en profondeur aimeriez-vous que nous approcherons la semaine prochaine?
    • Analyse de vulnérabilités spécifiques (XSS, injection SQL, etc.)
    • L’utilisation de l’intrus et de la répétition pour des tests plus avancés
    • SCANS AUTOMATION AVEC BURP SCANNER
    • Ou tout autre sujet lié à la cybersécurité?

Dites-nous dans les commentaires ou par message et préparez-vous pour notre prochain voyage dans le monde du Web -!

Rejoignez la première communauté informatique dédiée et déverrouillez tous nos bonus exclusifs, y compris la formation complète «Devenez un expert pour accélérer votre carrière aujourd’hui. Rendez-vous dans la communauté maintenant





Hosting

Leave a Reply

Your email address will not be published. Required fields are marked *

Website https://marplewebsitehosting.co.uk

Related Posts