Burp Suite
Qu'est-ce que Burp Suite ?
Burp SuiteProxy d'interception et boite a outils de test web de PortSwigger, utilisee pour decouvrir, manipuler et exploiter des vulnerabilites dans des applications HTTP et HTTPS.
Burp Suite est la plateforme de reference pour le test de securite des applications web, creee par Dafydd Stuttard et developpee par PortSwigger. Elle combine proxy d'interception, Repeater, Intruder, Decoder, scanner et une API d'extensions (BApp) utilises par les ingenieurs AppSec, chasseurs de bugs et pentesteurs. Burp existe en edition Community gratuite et en editions commerciales Professional et Enterprise ; la version Professional inclut le scanner actif de vulnerabilites au coeur de nombreux flux AppSec. Son usage n'est legal que sur des systemes pour lesquels une autorisation ecrite explicite a ete obtenue, par exemple un perimetre defini dans un pentest ou un programme de bug bounty.
● Exemples
- 01
Modifier un JWT dans l'onglet Repeater pour confirmer un contournement d'autorisation.
- 02
Lancer Intruder avec une liste de payloads pour tester l'injection SQL dans un parametre de recherche.
● Questions fréquentes
Qu'est-ce que Burp Suite ?
Proxy d'interception et boite a outils de test web de PortSwigger, utilisee pour decouvrir, manipuler et exploiter des vulnerabilites dans des applications HTTP et HTTPS. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Burp Suite ?
Proxy d'interception et boite a outils de test web de PortSwigger, utilisee pour decouvrir, manipuler et exploiter des vulnerabilites dans des applications HTTP et HTTPS.
Comment fonctionne Burp Suite ?
Burp Suite est la plateforme de reference pour le test de securite des applications web, creee par Dafydd Stuttard et developpee par PortSwigger. Elle combine proxy d'interception, Repeater, Intruder, Decoder, scanner et une API d'extensions (BApp) utilises par les ingenieurs AppSec, chasseurs de bugs et pentesteurs. Burp existe en edition Community gratuite et en editions commerciales Professional et Enterprise ; la version Professional inclut le scanner actif de vulnerabilites au coeur de nombreux flux AppSec. Son usage n'est legal que sur des systemes pour lesquels une autorisation ecrite explicite a ete obtenue, par exemple un perimetre defini dans un pentest ou un programme de bug bounty.
Comment se défendre contre Burp Suite ?
Les défenses contre Burp Suite combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Burp Suite ?
Noms alternatifs courants : Burp, BurpSuite.
● Termes liés
- defense-ops№ 813
Test d'intrusion
Cyberattaque simulée et autorisée contre des systèmes, applications ou personnes pour identifier les faiblesses exploitables avant les véritables adversaires.
- appsec№ 273
DAST (Dynamic Application Security Testing)
Tests de sécurité boîte noire qui sollicitent une application en cours d'exécution via le réseau pour détecter des vulnérabilités visibles uniquement à l'exécution.
- compliance№ 781
OWASP Top 10
Document de sensibilisation de l'OWASP qui recense les risques de sécurité les plus critiques des applications web, mis à jour périodiquement à partir de données de vulnérabilités réelles.
- attacks№ 1084
Injection SQL
Attaque par injection de code qui insère du SQL contrôlé par l'attaquant dans une requête de base de données, permettant de lire, modifier ou détruire des données.
- attacks№ 240
Cross-Site Scripting (XSS)
Vulnérabilité web permettant à un attaquant d'injecter des scripts malveillants dans des pages consultées par d'autres utilisateurs, exécutés dans leur navigateur sous l'origine du site.
- roles№ 132
Chasseur de bug bounty
Chercheur en sécurité indépendant qui découvre et signale des vulnérabilités à des éditeurs via des programmes de bug bounty ou de divulgation coordonnée, en échange de récompenses financières et de reconnaissance.
● Voir aussi
- № 577Kali Linux
- № 686mitmproxy