Burp Suite — Cheatsheet 2026

La référence complète Burp Suite — configuration du proxy, Repeater, Intruder, Decoder, raccourcis clavier, match & replace, extensions et workflow complet de pentest web. Pour le bug bounty, les CTF et les audits web autorisés.

Dernière mise à jour :

Débutant ? Lisez notre guide complet pour débuter et situez le proxy web dans la méthodologie.

Navigation rapide

01 Configuration du proxy 02 Raccourcis clavier 03 Repeater 04 Intruder 05 Target & Scope 06 Decoder & Comparer 07 Match & Replace 08 Scanner (Pro) 09 Extensions 10 Workflow de pentest web

# Configuration du proxy

Le proxy est le cœur de Burp — il se place entre votre navigateur et la cible, vous permettant d'intercepter et d'éditer chaque requête.

Listener proxy : 127.0.0.1:8080
Listener par défaut — pointez votre navigateur ici (Proxy > Options)
Utiliser le navigateur embarqué (Proxy > Intercept > Open Browser)
Chromium préconfiguré — aucun réglage de proxy ni de certificat
http://burp → CA Certificate → cacert.der
Téléchargez le certificat CA de Burp et faites-lui confiance pour le HTTPS
Intercept is on / off
Activer/désactiver l'interception ; laissez OFF et naviguez, puis travaillez depuis l'historique
💡 Astuce : la plupart du temps, laissez Intercept OFF et naviguez normalement — chaque requête est journalisée dans Proxy > HTTP history, où un clic droit envoie les requêtes intéressantes vers Repeater ou Intruder.

# Raccourcis clavier essentiels

Les maîtriser vous rendra bien plus rapide dans Burp.

RaccourciAction
Ctrl+REnvoyer la requête vers Repeater
Ctrl+IEnvoyer la requête vers Intruder
Ctrl+Shift+RBasculer vers l'onglet Repeater
Ctrl+Shift+IBasculer vers l'onglet Intruder
Ctrl+SpaceEnvoyer la requête (dans Repeater)
Ctrl+UURL-encoder la sélection
Ctrl+Shift+UURL-décoder la sélection
Ctrl+BEncoder la sélection en base64
Ctrl+Shift+BDécoder la sélection depuis base64
Ctrl+FTransmettre (forward) la requête interceptée

# Repeater — test manuel

Repeater est l'endroit où vous forgez et renvoyez à la main des requêtes uniques pour sonder le comportement d'un endpoint.

Clic droit sur la requête → Send to Repeater (Ctrl+R)
Pousser une requête de l'historique/proxy vers Repeater
Ctrl+Space
Envoyer la requête courante et voir la réponse
Changer la méthode : clic droit → Change request method
Basculer GET↔POST pour tester la gestion des paramètres
Réponse → onglet Render
Voir la réponse HTML rendue, pas seulement le texte brut
💡 Astuce : dupliquez un onglet Repeater (Ctrl+glisser ou clic droit > Duplicate) pour garder une requête valide de référence pendant que vous mutez une copie — parfait pour tester des payloads en A/B.

# Intruder — attaques automatisées

Intruder injecte des payloads dans des positions marquées sur de nombreuses requêtes — fuzzing, brute-force et énumération.

Ctrl+I → onglet Positions → ajouter les marqueurs §
Envoyer vers Intruder, puis marquer les points d'injection avec §

Types d'attaque

TypeCas d'usage
SniperUn jeu, une position à la fois — fuzzing d'un seul paramètre
Battering ramMême payload dans toutes les positions à la fois
PitchforkPlusieurs jeux en parallèle — ex. paires user+mot de passe
Cluster bombToutes les combinaisons de jeux — brute-force complet d'identifiants
Onglet Payloads → Simple list / Runtime file / Numbers
Charger une wordlist, un fichier, ou générer des plages de nombres/dates
Grep - Match : ajouter "Welcome" / "Invalid"
Marquer les réponses contenant un mot-clé pour repérer vite les hits
Trier les résultats par Length / Status
Une longueur de réponse différente révèle souvent le bon payload
⚠️ Édition Community : Intruder est bridé à ~1 req/s. Pour du fuzzing rapide, utilisez ffuf ou wfuzz, ou passez à Burp Professional.

# Target & Scope

Définissez le scope pour que Burp ne journalise et n'attaque que ce que vous êtes autorisé à tester.

Target → Site map → clic droit sur l'hôte → Add to scope
Ajouter la cible au scope
Proxy → Options → Intercept only in-scope items
Arrêter de capturer le bruit des domaines tiers
Site map → filtre → Show only in-scope items
Focaliser le site map sur votre cible

# Decoder & Comparer

Decoder transforme les données (encode/décode/hash) ; Comparer compare deux réponses pour repérer des différences subtiles.

Decoder → Decode as : URL / Base64 / HTML / ASCII hex
Enchaîner les décodages pour dérouler les encodages en couches
Decoder → Hash : MD5 / SHA-1 / SHA-256
Hasher rapidement une valeur
Clic droit deux réponses → Send to Comparer → Words / Bytes
Comparer une réponse valide et invalide pour trouver l'indice

# Match & Replace

Réécrire automatiquement les requêtes/réponses traversant le proxy — parfait pour les en-têtes d'auth et les flags côté client.

Proxy → Options → Match and Replace → Add
Créer une règle (en-tête de requête / corps de réponse, etc.)
Type : Request header — Match : ^User-Agent.*$ — Replace : User-Agent: PentestMindmap
Forcer un User-Agent personnalisé sur chaque requête
Type : Response body — Match : "isAdmin":false — Replace : "isAdmin":true
Basculer un flag côté client pour tester le contrôle d'accès
Type : Request header — Match : (vide) — Replace : Authorization: Bearer TOKEN
Injecter un en-tête d'auth dans chaque requête

# Scanner (Professional)

Le scanner de Burp Pro automatise la découverte de vulnérabilités. Indisponible en Community.

Dashboard → New scan → Crawl and audit
Crawl automatisé complet + audit de vulnérabilités d'une cible
Clic droit sur la requête → Scan → Audit selected items
Scan actif ciblé d'une seule requête
Scan configuration : Audit checks - light active
Choisir un profil de scan plus léger et rapide pour réduire le bruit

# Extensions essentielles (BApp Store)

À installer depuis Extensions > BApp Store. Elles couvrent les besoins les plus courants.

Autorize
Test automatique d'autorisation / contrôle d'accès (IDOR, élévation)
Logger++
Journalisation, filtrage et export avancés des requêtes
Param Miner
Découvrir paramètres et en-têtes cachés (idéal pour le cache poisoning)
Active Scan++
Vérifications de scan actif supplémentaires au-delà des défauts
JS Link Finder
Extraire endpoints et liens des fichiers JavaScript

# Le workflow de pentest web

Un ordre d'opérations reproductible pour tester une application web avec Burp.

1. Ajouter la cible au scope, intercept off, naviguer toute l'app
Peupler le site map en utilisant toutes les fonctionnalités
2. Examiner Proxy → HTTP history pour les endpoints intéressants
Chercher IDs, tokens, chemins admin, paramètres de fichier
3. Envoyer les candidats vers Repeater et sonder à la main
Tester IDOR, injection, bypass d'auth une requête à la fois
4. Utiliser Intruder (ou ffuf) pour fuzzer les paramètres et brute-forcer
Automatiser ce que vous avez confirmé manuellement
5. Lancer Autorize en naviguant comme un utilisateur à faibles droits
Détecter automatiquement le contrôle d'accès défaillant

❓ FAQ Burp Suite

Burp écoute sur 127.0.0.1:8080. Pointez votre navigateur dessus (ou utilisez le navigateur embarqué). Faites ensuite confiance au certificat CA depuis http://burp pour intercepter le HTTPS sans avertissement.

Repeater renvoie une seule requête que vous éditez à la main. Intruder automatise de nombreuses requêtes avec des payloads (fuzzing, brute-force). Ctrl+R → Repeater, Ctrl+I → Intruder.

Sniper (un jeu, une position à la fois), Battering ram (même payload partout), Pitchfork (jeux parallèles — paires user+pass), Cluster bomb (toutes les combinaisons — brute-force complet).

Oui — environ 1 requête/seconde et pas d'attaques sauvegardées. Pour du fuzzing rapide, utilisez ffuf/wfuzz, ou passez à Burp Professional.

Une règle proxy qui réécrit automatiquement requêtes/réponses. Usages : forcer un User-Agent, injecter un en-tête Authorization sur chaque requête, ou basculer isAdmin:false en true dans une réponse.

Ctrl+R → Repeater, Ctrl+I → Intruder, Ctrl+Space envoyer dans Repeater, Ctrl+U/Ctrl+Shift+U URL encoder/décoder, Ctrl+B encoder en base64.

Depuis le BApp Store : Autorize, Logger++, Active Scan++, Param Miner et JS Link Finder. Certaines nécessitent Jython/Jruby configuré dans les réglages Extensions.

Allez sur http://burp, téléchargez le certificat CA (cacert.der) et importez-le dans les autorités racine de confiance de votre navigateur. Le HTTPS est alors déchiffré dans Proxy > HTTP history sans avertissement.

📚 Ressources liées

Rapport de pentest assisté par IA

Transformez vos découvertes Burp en rapport PDF professionnel. L'IA remplit CVE, CVSS et sévérité.

Essayer gratuitement →

Envie des 12 020+ commandes ?

Cette cheatsheet Burp Suite n'est qu'une branche de la carte. Pentest Mindmap organise 12 020+ commandes en 34 catégories — de la recon à la post-exploitation — avec recherche instantanée et copie en un clic.

Commencer gratuitement →