Proxy et Repeater
Proxy d’interception et tests manuels d’applications web avec Proxy, Repeater, Intruder et outils d’analyse.
Utilise Burp uniquement sur une application autorisée. L'interception peut exposer des mots de passe, cookies et données personnelles.
Préparer le navigateur
Utilise le navigateur intégré de Burp ou un profil dédié. Pour intercepter HTTPS, installe le certificat CA de Burp uniquement dans ce profil de test.
Proxy
Workflow :
- activer
Intercept; - déclencher une action précise ;
- inspecter méthode, chemin, paramètres, cookies et headers ;
- envoyer la requête intéressante vers Repeater ;
- désactiver l'interception pour éviter de bloquer le navigateur.
Repeater
Repeater permet de modifier et renvoyer une requête. Teste une variable à la fois :
GET /api/orders/1042 HTTP/1.1
Host: lab.example
Cookie: session=...
Accept: application/json
Contrôles typiques :
- remplacer l'identifiant par une autre valeur autorisée en lab ;
- retirer un header ;
- changer la méthode ;
- modifier le type de contenu ;
- rejouer avec un autre rôle de test.
Comparer les réponses
Observe : code HTTP, taille, temps, headers, message d'erreur et données retournées. Une différence ne prouve pas une vulnérabilité ; elle guide la validation.
Organisation
Ajoute des commentaires et couleurs dans l'historique Proxy : authentification, API, fichiers, administration, anomalie.