# Configuration du proxy
Le proxy est le cœur de Burp — il se place entre votre navigateur et la cible, vous permettant d'intercepter et d'éditer chaque requête.
Listener proxy : 127.0.0.1:8080Utiliser le navigateur embarqué (Proxy > Intercept > Open Browser)http://burp → CA Certificate → cacert.derIntercept is on / off# Raccourcis clavier essentiels
Les maîtriser vous rendra bien plus rapide dans Burp.
| Raccourci | Action |
|---|---|
| Ctrl+R | Envoyer la requête vers Repeater |
| Ctrl+I | Envoyer la requête vers Intruder |
| Ctrl+Shift+R | Basculer vers l'onglet Repeater |
| Ctrl+Shift+I | Basculer vers l'onglet Intruder |
| Ctrl+Space | Envoyer la requête (dans Repeater) |
| Ctrl+U | URL-encoder la sélection |
| Ctrl+Shift+U | URL-décoder la sélection |
| Ctrl+B | Encoder la sélection en base64 |
| Ctrl+Shift+B | Décoder la sélection depuis base64 |
| Ctrl+F | Transmettre (forward) la requête interceptée |
# Repeater — test manuel
Repeater est l'endroit où vous forgez et renvoyez à la main des requêtes uniques pour sonder le comportement d'un endpoint.
Clic droit sur la requête → Send to Repeater (Ctrl+R)Ctrl+SpaceChanger la méthode : clic droit → Change request methodRéponse → onglet Render# Intruder — attaques automatisées
Intruder injecte des payloads dans des positions marquées sur de nombreuses requêtes — fuzzing, brute-force et énumération.
Ctrl+I → onglet Positions → ajouter les marqueurs §Types d'attaque
| Type | Cas d'usage |
|---|---|
| Sniper | Un jeu, une position à la fois — fuzzing d'un seul paramètre |
| Battering ram | Même payload dans toutes les positions à la fois |
| Pitchfork | Plusieurs jeux en parallèle — ex. paires user+mot de passe |
| Cluster bomb | Toutes les combinaisons de jeux — brute-force complet d'identifiants |
Onglet Payloads → Simple list / Runtime file / NumbersGrep - Match : ajouter "Welcome" / "Invalid"Trier les résultats par Length / Statusffuf ou wfuzz, ou passez à Burp Professional.# Target & Scope
Définissez le scope pour que Burp ne journalise et n'attaque que ce que vous êtes autorisé à tester.
Target → Site map → clic droit sur l'hôte → Add to scopeProxy → Options → Intercept only in-scope itemsSite map → filtre → Show only in-scope items# Decoder & Comparer
Decoder transforme les données (encode/décode/hash) ; Comparer compare deux réponses pour repérer des différences subtiles.
Decoder → Decode as : URL / Base64 / HTML / ASCII hexDecoder → Hash : MD5 / SHA-1 / SHA-256Clic droit deux réponses → Send to Comparer → Words / Bytes# Match & Replace
Réécrire automatiquement les requêtes/réponses traversant le proxy — parfait pour les en-têtes d'auth et les flags côté client.
Proxy → Options → Match and Replace → AddType : Request header — Match : ^User-Agent.*$ — Replace : User-Agent: PentestMindmapType : Response body — Match : "isAdmin":false — Replace : "isAdmin":trueType : Request header — Match : (vide) — Replace : Authorization: Bearer TOKEN# Scanner (Professional)
Le scanner de Burp Pro automatise la découverte de vulnérabilités. Indisponible en Community.
Dashboard → New scan → Crawl and auditClic droit sur la requête → Scan → Audit selected itemsScan configuration : Audit checks - light active# Extensions essentielles (BApp Store)
À installer depuis Extensions > BApp Store. Elles couvrent les besoins les plus courants.
AutorizeLogger++Param MinerActive Scan++JS Link Finder# Le workflow de pentest web
Un ordre d'opérations reproductible pour tester une application web avec Burp.
1. Ajouter la cible au scope, intercept off, naviguer toute l'app2. Examiner Proxy → HTTP history pour les endpoints intéressants3. Envoyer les candidats vers Repeater et sonder à la main4. Utiliser Intruder (ou ffuf) pour fuzzer les paramètres et brute-forcer5. Lancer Autorize en naviguant comme un utilisateur à faibles droits❓ FAQ Burp Suite
Burp écoute sur 127.0.0.1:8080. Pointez votre navigateur dessus (ou utilisez le navigateur embarqué). Faites ensuite confiance au certificat CA depuis http://burp pour intercepter le HTTPS sans avertissement.
Repeater renvoie une seule requête que vous éditez à la main. Intruder automatise de nombreuses requêtes avec des payloads (fuzzing, brute-force). Ctrl+R → Repeater, Ctrl+I → Intruder.
Sniper (un jeu, une position à la fois), Battering ram (même payload partout), Pitchfork (jeux parallèles — paires user+pass), Cluster bomb (toutes les combinaisons — brute-force complet).
Oui — environ 1 requête/seconde et pas d'attaques sauvegardées. Pour du fuzzing rapide, utilisez ffuf/wfuzz, ou passez à Burp Professional.
Une règle proxy qui réécrit automatiquement requêtes/réponses. Usages : forcer un User-Agent, injecter un en-tête Authorization sur chaque requête, ou basculer isAdmin:false en true dans une réponse.
Ctrl+R → Repeater, Ctrl+I → Intruder, Ctrl+Space envoyer dans Repeater, Ctrl+U/Ctrl+Shift+U URL encoder/décoder, Ctrl+B encoder en base64.
Depuis le BApp Store : Autorize, Logger++, Active Scan++, Param Miner et JS Link Finder. Certaines nécessitent Jython/Jruby configuré dans les réglages Extensions.
Allez sur http://burp, téléchargez le certificat CA (cacert.der) et importez-le dans les autorités racine de confiance de votre navigateur. Le HTTPS est alors déchiffré dans Proxy > HTTP history sans avertissement.
📚 Ressources liées
- Cheatsheet Reverse Shell — Transformer une RCE web en shell une fois l'injection confirmée dans Burp
- Cheatsheet Nmap — Trouver les ports web (80/443/8080) avant de les proxifier
- Cheatsheet Pentest complète — 200+ commandes pour web, réseau, AD et privesc
- Glossaire du pentest — IDOR, XSS, SSRF, proxy et 60+ termes clés définis
Transformez vos découvertes Burp en rapport PDF professionnel. L'IA remplit CVE, CVSS et sévérité.
Envie des 12 020+ commandes ?
Cette cheatsheet Burp Suite n'est qu'une branche de la carte. Pentest Mindmap organise 12 020+ commandes en 34 catégories — de la recon à la post-exploitation — avec recherche instantanée et copie en un clic.
Commencer gratuitement →