Burp suite

Burp Suite, un logiciel qui ne cesse de repousser les limites de la sécurité Web.

Burp Suite est une plate-forme intégrée qui permet d’effectuer les tests de sécurité des applications Web. Ses divers outils fonctionnent parfaitement ensemble pour soutenir le processus de test, de cartographie et d’analyse de la surface d’attaque de la demande initiale, grâce à la recherche et l’exploitation de failles de sécurité. Il est conçu pour soutenir la méthodologie hands-on tester, il vous donne un contrôle complet sur les actions qu’il effectue, et il analyse en profondeur les résultats. Il permet d’automatiser toutes sortes de tâches de manière personnalisables, et de combiner des techniques manuelles et automatisées pour rendre votre test rapide, plus fiable et plus amusant.

 

Burp Suite Pro contient les éléments clés suivants:

  • Un Proxy d’interception, qui vous permet d’inspecter et de modifier le trafic entre votre navigateur et l’application cible.
  • Un Spider sensible aux applications, pour l’analyse de contenu et de fonctionnalité.
  • Un scanner d’applications web avancées, pour automatiser la détection de nombreux types de vulnérabilité.
  • Un outil Intruder, pour effectuer de puissantes attaques personnalisées afin de trouver et exploiter les vulnérabilités inhabituelles.
  • Un outil de répéteur, pour manipuler et renvoyer les demandes individuelles.
  • Un outil de séquenceur, pour tester le caractère aléatoire des jetons de session.
  • La possibilité d’enregistrer votre travail et reprendre le travail plus tard.
  • Extensibilité, vous permet d’écrire facilement vos propres plugins, d’effectuer des tâches complexes et hautement personnalisées dans les Burp.

Burp Suite est une application Java, développée par PortSwigger Ltd, qui peut être utilisée pour la sécurisation ou effectuer des tests de pénétration sur les applications web. La suite est composée de différents outils comme un serveur proxy (Burp Proxy), robot d’indexation (Burp Spider), un outil d’intrusion (Burp Intruder), un scanner de vulnérabilités (Burp Scanner) et un répéteur HTTP (Burp Repeater).

Serveur proxy

Lorsqu’elle est utilisée comme un serveur proxy, la suite Burp permet à l’utilisateur de manipuler le trafic qui passe au travers de celui-ci i.e. entre le navigateur web et le serveur. Cette disposition est communément appelée attaque de l’homme du milieu (MITM). L’application utilise une interface permettant aisément la manipulation des données échangées dans les deux sens. Grâce à cette fonctionnalité, il est possible d’injecter des données non-conformes dans l’objectif de provoquer un comportement anormal de l’application et donc d’en identifier les bugs et vulnérabilités associées.

Robot d’indexation

Le robot d’indexation permet d’initier des connexions avec l’application web, d’examiner les cookies et d’en parcourir les pages afin d’identifier sa structure interne.

Outil d’intrusion

L’outil d’intrusion permet d’automatiser des attaques paramétrées sur l’application web. Le testeur d’intrusion doit avoir une connaissance détaillée du fonctionnement de l’application et du protocole HTTP pour permettre l’attaque avec succès. L’outil offre la possibilité de créer des requêtes HTTP nuisible pour l’application. Il peut également aider à la détection des injections SQL, à l’exploitation de vulnérabilités de type cross-site scripting, permettre la manipulation des paramètres HTTP ainsi que des attaques par recherche exhaustive.

Répéteur HTTP

Le répéteur est un outil simple permettant de renvoyer des requêtes HTTP selon un paramétrage défini afin d’observer le comportement de l’application web et en identifier les vulnérabilités.

Séquenceur

Le séquenceur est un outil destiné à l’analyse du degré d’aléatoire des jetons de session émit par l’application mais également des nonces cryptographiques et autres éléments aux valeurs normalement imprédictibles.

Pour plus d’informations  consultez le site : https://portswigger.net/burp

Menu