Cet article est purement informatif et en aucun cas une incitation au hacking ou/et autres activités illégales. ll s’agit simplement d’explications vous permettant de pouvoir tester et mettre en place les mesures de sécurité adéquates dans le cadre de vos applications web.

En aucun cas, ce site internet et l’auteur de cet article ne peuvent être reconnus responsables en cas d’activité illégale.

Burp Suite

Burp Suite est un ensemble d’outils utilisés afin de tester la sécurité des sites internet. Cette suite contient plusieurs outils ainsi que des interfaces afin de faciliter et d’accélérer le processus d’attaque sur une application. Un framework commun est utilisé afin de gérer les requêtes HTTP, la persistance, l’authentification, les proxy, etc.

L’un des gros avantages de cette suite c’est qu’il permet d’utiliser une combinaison de techniques manuelles et automatiques afin d’effectuer des analyses, des scans, des énumérations ainsi que l’exploitation des vulnérabilités d’une application web. Les différents outils de la suite fonctionnent de concert, vous pouvez utiliser l’un pour faire de l’énumération de login/password et un autre afin de le tester sur plusieurs pages ou plusieurs applications web.

Burp Proxy

Il s’agit d’un serveur de proxy HTTP/S. Il fonctionne comme un “man-in-the-middle” entre le navigateur et le serveur web que vous souhaitez atteindre, en particulier ce proxy permet d’intercepter, d’inspecter et de modifier les trafics (i.e. les requêtes HTTP par exemple) dans les deux directions. Vous pouvez donc trouver et exploiter des vulnérabilités en observant et manipulant des paramètres critiques et autres données transmises dans une application. En modification ces requêtes de manière “créative”, le proxy peut être utilisé afin d’effectuer des attaques de type SQL injection, “cookie subversion”, privilege escalation, hijacking session, buffer overflows, etc.

Burp Spider

Le Spider est un outil afin d’effectuer un “mapping” d’une application web. Utilisant des techniques dites “intelligentes” cet outil permet d’établir un inventaire du contenu et des fonctionnalités d’une application (i.e. entre autres une liste des différents fichiers et dossiers). Par conséquent, cet outil vous permet d’obtenir rapidement et automatiquement beaucoup d’information très utile dans le cadre du test d’une web application.

Burp Repeater is a tool for manually modifying and reissuing individual HTTP requests, and analysing their responses. It is best used in conjunction with the other Burp Suite tools. For example, you can send a request to Repeater from the target site map, from the Burp Proxy browsing history, or from the results of a Burp Intruder attack, and manually adjust the request to fine-tune an attack or probe for vulnerabilities.

Burp Intruder

L’Intruder est un outil permettant d’automatiser des attaques sur une application web. Vous pouvez utiliser cet outil pour effectuer différentes tâches, par exemple: énumération de compte utilisateurs, obtention d’informations utiles, techniques de “fuzzing”. Loin de se limiter à cette liste, l’Intruder pour également être utilisé pour tester des SQL injection, cross-site scripting, buffer overflows; attaque de type brute force sur les mécanismes d’authentification; recherche de contenu cachés; attaque sur les sessions token; et pour finir, on peut effectuer des attaques concurrentes afin de tester l’application en cas d’attaque de type deni de service.

Burp Repeater

Le Repeater permet, manuellement, de modifier et de soumettre à nouveau une requête HTTP. Bien l’analyse de la réponse à cette même requête est possible. Pour tirer le meilleur de cet outil, il est très souvent utilisé conjointement avec les autres outils de la suite. Afin d’y arriver, il est possible de transférer une requête HTTP vers le Repeater depuis Intruder, le Proxy, etc. et ainsi de l’analyser plus en détail.

Burp Sequencer

Cet outil permet de tester si les token de session (session ID) sont générés de manière aléatoire. On peut imaginer certains cas où il est possible de découvrir un schéma qui se répète dans ce processus de création de session ID et par conséquent pouvoir les prédire.

Burp Decoder et Burp Comparer

Les deux derniers outils permettent, respectivement de “décoder” des caractères et de faire une comparaison entre deux requêtes.

Burp Suite Professional

Il est existe une version professionnelle de la suite Burp. Cette version se différencie de la manière suivante:

• Possibilité d’enregistrer et de restaurer la configuration des différents outils
• Burp Scanner, qui permet d’effectuer de la recherche de vulnérabilités automatisées dans une application web.
• Engagement tools: ensemble d’outils secondaires par exemple: recherche, planification du lancement des outils, etc.
• Le prix (!), 149£ par année

Burp Suite sous Mac OS X

Burp Suite est un logiciel JAVA, il fonctionne parfaitement sous Mac OS X 10.6 (je n’ai pas testé sous les versions précédentes) malgré un message d’avertissement lorsque vous lancez le logiciel.

Partant du principe que Burp Proxy est l’outil de base, indispensable pour effectuer une analyse. Voici comment configurer le Burp Proxy ainsi que votre ordinateur: