Nous avons couvert les bases du cadre de test de sécurité des applications Web Burp Suite. Burp Suite est un framework basé sur Java conçu pour servir de solution complète pour effectuer des tests d'intrusion d'applications Web. Il est devenu l'outil standard de l'industrie pour les évaluations pratiques de la sécurité des applications Web et mobiles, y compris celles qui s'appuient sur des interfaces de programmation d'applications (API). Cela faisait partie de TryHackMe BurpSuite : Les bases pour les débutants.
Obtenez les notes d'étude COMPTIA Pe ntest+
Le cours pratique complet sur le framework Metasploit
Description du défi
Une introduction à l'utilisation de Burp Suite pour le test d'application Web.
Faits saillants de la vidéo
Suite Rots est un framework basé sur Java conçu pour servir de solution complète pour effectuer des tests d'intrusion d'applications Web. Il est devenu l'outil standard de l'industrie pour les évaluations pratiques de la sécurité des applications Web et mobiles, y compris celles qui s'appuient sur unapplication pprogrammation jeinterfaces (Apis).
Tout simplement, Suite Rots capture et permet la manipulation de tout le trafic HTTP/HTTPS entre un navigateur et un serveur Web. Cette capacité fondamentale constitue l’épine dorsale du cadre. En interceptant les requêtes, les utilisateurs ont la possibilité de les acheminer vers divers composants du framework Burp Suite, que nous explorerons dans les sections à venir. La possibilité d'intercepter, d'afficher et de modifier les requêtes Web avant qu'elles n'atteignent le serveur cible ou même de manipuler les réponses avant qu'elles ne soient reçues par notre navigateur fait de Burp Suite un outil inestimable pour les tests manuels d'applications Web.
- Procuration: Le rot Procuration est l’aspect le plus connu de Burp Suite. Il permet l'interception et la modification des demandes et des réponses tout en interagissant avec les applications Web.
- Répétiteur: Une autre fonctionnalité bien connue. Répétiteur permet de capturer, de modifier et de renvoyer la même demande plusieurs fois. Cette fonctionnalité est particulièrement utile lors de la création de charges utiles par essais et erreurs (par exemple, dans SQLi – Structured Query Language Injection) ou lors du test des fonctionnalités d'un point de terminaison pour détecter les vulnérabilités.
- Intrus: Malgré les limitations de débit dans Burp Suite Community, Intrus permet de pulvériser les points finaux avec des requêtes. Il est couramment utilisé pour les attaques par force brute ou pour fuzzing les points de terminaison.
- Décodeur: Décodeur offre un service précieux pour la transformation des données. Il peut décoder les informations capturées ou encoder les charges utiles avant de les envoyer à la cible. Bien que des services alternatifs existent à cet effet, tirer parti de Decoder dans Burp Suite peut être très efficace.
- Comparateur: Comme le nom le suggère, Comparateur permet la comparaison de deux éléments de données au niveau du mot ou de l'octet. Bien qu'elle ne soit pas exclusive à Burp Suite, la possibilité d'envoyer des segments de données potentiellement volumineux directement à un outil de comparaison avec un seul raccourci clavier accélère considérablement le processus.
- Séquenceur: Séquenceur est généralement utilisé lors de l'évaluation du caractère aléatoire des jetons, tels que les valeurs des cookies de session ou d'autres données supposément générées de manière aléatoire. Si l’algorithme utilisé pour générer ces valeurs ne dispose pas d’un caractère aléatoire sécurisé, il peut ouvrir la voie à des attaques dévastatrices.
Réponses de la salle
Quelle édition de Burp Suite utiliserons-nous dans ce module ?
Communauté Burp Suite
Quelle édition de Burp Suite s'exécute sur un serveur et permet une analyse constante des applications Web cibles ?
Burp Suite Entreprise
Burp Suite est fréquemment utilisé pour attaquer des applications Web et des applications ______.
Mobile
Quelle fonctionnalité de Burp Suite nous permet d'intercepter les requêtes entre nous et la cible ?
Procuration
Quel outil Burp utiliserions-nous si nous voulions forcer brutalement un formulaire de connexion ?
Intrus
Si nous avons téléchargé des certificats TLS côté client dans le Options utilisateur , pouvons-nous les remplacer par projet (Oui/Non) ?
Toujours
Quel bouton choisirions-nous pour envoyer une requête interceptée à la cible dans Burp Proxy ?
Avant
[Recherche] Quel est le raccourci clavier par défaut pour cela ?
Ctrl+F
Quelle est la gravité typique d’une dépendance JavaScript vulnérable ?
Faible
Vidéo pas à pas