Burp Suite
On va découvrir l'outil mais aussi l'académie BURP qui permet d'apprendre les différentes vulnérabilités et thématiques concernant la sécurité web.
On va découvrir l'outil mais aussi l'académie BURP qui permet d'apprendre les différentes vulnérabilités et thématiques concernant la sécurité web.
Burp Suite est une plateforme intégrée permettant de tester la sécurité des applications web. Ses différents outils fonctionnent de manière transparente pour soutenir l'ensemble du processus de test, depuis la cartographie et l'analyse initiales de la surface d'attaque d'une application jusqu'à la recherche et l'exploitation des vulnérabilités de sécurité.
Burp vous donne un contrôle total, vous permettant de combiner des techniques manuelles avancées avec une automatisation de pointe, afin de rendre votre travail plus rapide, plus efficace et plus amusant. Définition: KALI.ORG
En termes simples: Burp Suite est un framework écrit en Java, développé par PortSwigger Ltd, qui vise à fournir un service unique et complet pour les tests de pénétration des applications web. À bien des égards, cet objectif est atteint puisque Burp est l'outil standard de l'industrie pour les évaluations pratiques de la sécurité des applications web.
La suite Burp est également très couramment utilisée pour évaluer les applications mobiles, car les caractéristiques qui la rendent si attrayante pour les tests d'applications web se traduisent presque parfaitement par des tests des API qui alimentent la plupart des applications mobiles.
Framework:
Un framework signifie littéralement « cadre de travail ». Il fournit, en effet, une base d'outils et de modules qui peuvent être utilisés sur différents projets. Par exemple, un framework peut inclure des classes, variables et fonctions prédéfinies. Définition: PURE-ILLUSION.COM API:
API qui vient de l'anglais Application Programming Interface, ou interface de programmation d'application, est un ensemble de définitions et de protocoles qui facilite la création et l'intégration des applications. Définition: REDHAT
Au niveau le plus simple, Burp peut capturer et manipuler tout le trafic entre un attaquant et un serveur web : c'est le noyau du framework. Après avoir capturé les requêtes, nous pouvons choisir de les envoyer à diverses autres parties de Burp (que nous aborderons plus en détail par la suite):
Intruder
Repeater
Collaborator
Extender
Proxy
...
Le but est donc de découvrir comment fonctionne BURP SUITE, de l'installation jusqu'à l'exploitation des vulnérabilités.
L'académie PortSwigger propose la théorie et les labs pour apprendre à utiliser burp mais aussi les vulnérabiltiés liées aux applications web.
Tryhackme propose aussi des cours sur l'utilisation de BURP, nous en reparlerons à la fin de la capsule. 😄
L'aventure sera longue mais elle en vaut la chandelle !