Quand il s'agit de tester la sécurité des applications Web, vous auriez du mal à trouver un ensemble d'outils mieux que Burp Suite de Portswigger Web Security. Il vous permet d'intercepter et de surveiller le trafic Web ainsi que des informations détaillées sur les demandes et les réponses vers et depuis un serveur.
Il y a beaucoup trop de fonctionnalités dans Burp Suite pour être couvertes dans un seul guide, donc celui-ci sera divisé en quatre parties. Cette première partie couvrira la configuration de Burp Suite et son utilisation comme proxy pour Firefox. Le second couvrira comment collecter des informations et utiliser le proxy Burp Suite. La troisième partie présente un scénario de test réaliste utilisant les informations recueillies via le proxy Burp Suite. Le quatrième guide couvrira de nombreuses autres fonctionnalités offertes par Burp Suite.
Dans ce guide, vous vous exercerez à utiliser Burp Suite sur une instance auto-hébergée de WordPress. Si vous avez besoin d'aide pour le configurer, consultez votre guide Debian.
Burp Suite est installé par défaut sur Kali Linux, vous n'avez donc pas à vous soucier de l'installer. En fait, c'est l'une des applications de la liste des favoris sur un CD live Kali.
Ouvrez-le et cliquez sur les menus d'ouverture. Utilisez simplement les valeurs par défaut. Il y a une certaine profondeur de configuration dans laquelle Burp Suite peut entrer, mais ce n'est pas nécessaire pour ce guide ou pour une utilisation de base.
Configurer Firefox
Burp Suite contient un proxy d'interception. Pour utiliser Burp Suite, vous devez configurer un navigateur pour faire passer son trafic via le proxy Burp Suite. Ce n'est pas trop difficile à faire avec Firefox, qui est le navigateur par défaut sur Kali Linux.
Ouvrez Firefox et cliquez sur le bouton de menu pour ouvrir le menu de configuration de Firefox. Dans le menu, cliquez sur "Préférences". Cela ouvrira l'onglet "Préférences" dans Firefox. À l'extrême gauche de l'onglet se trouve une autre liste de menus. Cliquez sur la dernière option, "Avancé". En haut de l'onglet "Avancé" se trouve un nouveau menu. Cliquez sur l'option "Réseau" au centre. Dans la section "Réseau", cliquez sur le bouton du haut intitulé "Paramètres…". Cela ouvrira les paramètres de proxy de Firefox.
Il existe un certain nombre d'options intégrées à Firefox pour gérer les proxys. Pour ce guide, sélectionnez le bouton radio "Configuration manuelle du proxy :". Cela ouvrira une série d'options qui vous permettront d'entrer manuellement l'adresse IP et le numéro de port de votre proxy pour chacun d'un certain nombre de protocoles. Par défaut, Burp Suite s'exécute sur le port 8080 , et puisque vous l'exécutez sur votre propre machine, entrez 127.0.0.1 comme adresse IP. Votre principale préoccupation sera HTTP, mais vous pouvez cocher la case "Utiliser ce serveur proxy pour tous les protocoles", si vous vous sentez paresseux.
Sous les autres options de configuration manuelle se trouve une case qui vous permet d'écrire des exemptions pour le proxy. Firefox ajoute à la fois le nom, localhost , ainsi que l'IP, 127.0.0.1 , à ce champ. Supprimez-les ou modifiez-les, puisque vous allez surveiller le trafic entre votre navigateur et une installation WordPress hébergée localement.
Avec Firefox configuré, vous pouvez procéder à la configuration de Burp et démarrer le proxy.
Configuration du proxy
Le proxy doit être configuré par défaut, mais prenez juste une seconde pour le vérifier. Si vous souhaitez modifier les paramètres à l'avenir, vous le ferez en suivant la même méthode.
Dans votre fenêtre Burp Suite, cliquez sur "Proxy" dans la rangée supérieure d'onglets, puis sur "Options" au niveau inférieur. La section supérieure de l'écran devrait indiquer "Proxy Listeners" et avoir une boîte avec le localhost IP et port 8080 . À côté, à gauche, doit se trouver une case cochée dans la colonne "En cours d'exécution". Si c'est ce que vous voyez, vous êtes prêt à commencer à capturer le trafic avec Burp Suite.
Réflexions finales
À ce stade, vous avez la suite Burp en cours d'exécution en tant que proxy pour Firefox, et vous êtes prêt à commencer à l'utiliser pour capturer les informations provenant de Firefox vers votre installation WordPress hébergée localement.
Dans le prochain guide, vous capturerez ces informations et apprendrez à les lire et à les décomposer en éléments utilisables. La quantité d'informations que Burp Suite peut collecter est assez incroyable et ouvre un monde de nouvelles possibilités pour tester vos applications Web.