Il agit comme un Proxy d’interception : il se place entre ton navigateur et le serveur web pour te permettre de voir, d’arrêter et de modifier les données qui circulent.
Architecture et Fonctionnement de Burp Suite
Normalement, quand tu cliques sur un bouton, ton navigateur envoie une requête directement au serveur. Avec Burp, le flux change :
Le cycle de l’interception
Requête du Navigateur : Tu tapes ton mot de passe sur un site.
Interception : Burp “attrape” la requête au vol. Elle ne part pas encore vers le serveur.
Modification : Tu peux changer le prix d’un article, modifier ton identifiant ou injecter un script malveillant dans la requête.
Relance (Forward) : Tu envoies la requête modifiée au serveur.
Réponse : Le serveur répond à Burp, qui te permet d’analyser le résultat avant de le renvoyer à ton navigateur.
Les Modules Principaux (L’arsenal de Burp)
Burp Suite est une “suite” car elle regroupe plusieurs outils en un seul :
1. Proxy
C’est le cœur de l’outil. Il permet d’intercepter le trafic HTTP/S. Tu peux lire en clair ce que ton navigateur envoie (cookies, paramètres cachés, jetons de session).
2. Repeater (Le plus utilisé)
Il permet de “rejouer” une requête spécifique à l’infini en modifiant un petit détail à chaque fois.
Exemple : Tu testes si tu peux accéder au profil de l’utilisateur ID=10, puis tu tentes ID=11, ID=12, etc., sans avoir à recliquer dans ton navigateur.
3. Intruder
C’est l’outil d’automatisation. Il permet de lancer des attaques ciblées.
- Brute-force de login : Tester 10 000 mots de passe sur un formulaire.
- Fuzzing : Envoyer des caractères spéciaux partout pour essayer de faire planter le site (et trouver une faille).
4. Scanner (Version Pro uniquement)
Un moteur intelligent qui parcourt le site tout seul pour trouver des failles connues (Injections SQL, Cross-Site Scripting – XSS).
Lexique technique de Burp Suite
| Terme | Définition |
| Intercept | Mode où Burp met la requête en “pause” pour que l’utilisateur puisse l’examiner. |
| Payload | La charge utile : la donnée spécifique que tu injectes pour tester une faille. |
| Target Scope | Le “périmètre” : définit quels sites Burp doit surveiller pour éviter de polluer l’historique avec Facebook ou Google en fond. |
| Spider / Crawler | Outil qui explore automatiquement tous les liens d’un site pour en dresser la carte. |
| Decoder | Petit utilitaire intégré pour transformer du texte (ex: Base64, URL Encoding) en texte lisible. |
Pourquoi l’utiliser en Cybersécurité ?
- Audit d’applications Web : Vérifier que les formulaires de paiement ou de connexion sont bien sécurisés.
- Bug Bounty : Les chercheurs de failles l’utilisent pour trouver des vulnérabilités et être rémunérés par les entreprises.
- Développement sécurisé : Les développeurs l’utilisent pour comprendre comment leur application réagit à des entrées imprévues.
- Astuce de pro : Pour utiliser Burp sur des sites sécurisés (HTTPS), tu dois installer le certificat de sécurité de Burp dans ton navigateur, sinon celui-ci bloquera la connexion en croyant à une attaque “Man-in-the-Middle”.
