Proxy d'Interception avec Burp Suite
🕷️ Proxy d’Interception avec Burp Suite
Section titled “🕷️ Proxy d’Interception avec Burp Suite”📋 Objectif
Section titled “📋 Objectif”Temps nécessaire : 2-3 heures
Niveau : Intermédiaire
À la fin de ce guide, vous saurez :
- Configurer le proxy Burp Suite
- Intercepter et modifier des requêtes HTTP/HTTPS
- Utiliser Repeater pour tester des payloads
- Automatiser des attaques avec Intruder
- Scanner des vulnérabilités web
🔧 Installation
Section titled “🔧 Installation”```bash
Kali Linux (préinstallé - Community Edition)
Section titled “Kali Linux (préinstallé - Community Edition)”burpsuite
Ubuntu/Debian
Section titled “Ubuntu/Debian”Télécharger depuis : https://portswigger.net/burp/communitydownload
Section titled “Télécharger depuis : https://portswigger.net/burp/communitydownload”Installation
Section titled “Installation”chmod +x burpsuite_community_linux_.sh ./burpsuite_community_linux_.sh ```
📚 Configuration Initiale
Section titled “📚 Configuration Initiale”1. Configurer le Proxy
Section titled “1. Configurer le Proxy”Dans Burp Suite :
- Proxy → Options → Proxy Listeners
- Par défaut :
127.0.0.1:8080
Dans votre navigateur (Firefox recommandé) :
- Paramètres → Réseau → Paramètres de connexion
- Configuration manuelle du proxy
- Proxy HTTP :
127.0.0.1, Port :8080 - Cochez Utiliser ce proxy pour tous les protocoles
2. Installer le Certificat CA
Section titled “2. Installer le Certificat CA”```bash
Avec le proxy activé, visitez :
Section titled “Avec le proxy activé, visitez :”Téléchargez “CA Certificate”
Section titled “Téléchargez “CA Certificate””Firefox : Paramètres → Vie privée → Certificats → Importer
Section titled “Firefox : Paramètres → Vie privée → Certificats → Importer”```
💡 Modules Principaux
Section titled “💡 Modules Principaux”Proxy (Interception)
Section titled “Proxy (Interception)”``` Proxy → Intercept → Intercept is on ```
Actions possibles :
- Forward : Envoyer la requête
- Drop : Abandonner la requête
- Action → Send to Repeater : Tester manuellement
- Action → Send to Intruder : Automatiser
Repeater (Test Manuel)
Section titled “Repeater (Test Manuel)”- Interceptez une requête
- Send to Repeater (Ctrl+R)
- Modifiez les paramètres
- Cliquez sur Send
- Analysez la réponse
Cas d’usage :
- Tester des injections SQL
- Modifier des cookies
- Tester l’authentification
Intruder (Attaques Automatisées)
Section titled “Intruder (Attaques Automatisées)”Types d’attaques :
- Sniper : Un seul point d’injection
- Battering ram : Même payload partout
- Pitchfork : Payloads parallèles
- Cluster bomb : Toutes les combinaisons
Exemple : Brute Force de Mot de Passe
- Interceptez la requête de login
- Send to Intruder (Ctrl+I)
- Sélectionnez le champ password → Add §
- Payloads → Chargez une wordlist
- Start attack
Scanner (Pro uniquement)
Section titled “Scanner (Pro uniquement)”Version Community : Scan passif seulement
Version Pro : Scan actif des vulnérabilités
🎯 Exemples Pratiques
Section titled “🎯 Exemples Pratiques”Détecter une SQL Injection
Section titled “Détecter une SQL Injection”```http
Requête originale
Section titled “Requête originale”GET /search?q=test HTTP/1.1
Test avec Repeater
Section titled “Test avec Repeater”GET /search?q=test’ OR ‘1’=‘1 HTTP/1.1 GET /search?q=test’ AND 1=1— HTTP/1.1 ```
Bypass d’Authentification
Section titled “Bypass d’Authentification”```http
Modifier le cookie de session
Section titled “Modifier le cookie de session”Cookie: session=eyJhZG1pbiI6ZmFsc2V9
En base64 décodé : {“admin”:false}
Section titled “En base64 décodé : {“admin”:false}”Modifier en : {“admin”:true}
Section titled “Modifier en : {“admin”:true}”Réencoder et tester
Section titled “Réencoder et tester”```
⚙️ Extensions Utiles
Section titled “⚙️ Extensions Utiles”BApp Store → Extensions :
| Extension | Usage |
|---|---|
| Logger++ | Logging avancé |
| Autorize | Test d’autorisation |
| Turbo Intruder | Attaques rapides |
| Active Scan++ | Scan amélioré |
| JSON Web Tokens | Manipulation JWT |
📖 Ressources
Section titled “📖 Ressources”- PortSwigger Academy - Formation gratuite
- Burp Suite Documentation
- YouTube : Rana Khalil - Tutoriels OSCP
Dernière mise à jour : Décembre 2024