Burp Suite
Intruder, Comparer et Decoder
Proxy d’interception et tests manuels d’applications web avec Proxy, Repeater, Intruder et outils d’analyse.
Intruder
Intruder automatise des variations de requêtes. Utilise-le avec un débit maîtrisé et des listes courtes.
Cas légitimes en audit
- énumération contrôlée d'identifiants non sensibles ;
- fuzzing léger de paramètres ;
- vérification de contrôles de rôle ;
- test de validation d'entrée ;
- recherche de réponses différentes.
Types d'attaque
| Type | Usage |
|---|---|
| Sniper | une position à la fois |
| Battering ram | même valeur partout |
| Pitchfork | listes en parallèle |
| Cluster bomb | combinaisons |
Analyse des résultats
Trie par : status, length, words, time et erreurs. Ajoute une extraction grep pour un token ou message spécifique.
Decoder
Décode/encode Base64, URL, hex et autres formats. Exemple :
JTI0JTI4d2hvYW1pJTI5 → URL decode → $(whoami)
Le décodage est une étape d'analyse, pas une exécution.
Comparer
Comparer met en évidence les différences entre deux réponses : rôle utilisateur, avant/après, succès/échec.
Conseil opérationnel
Garde une requête de référence non modifiée dans Repeater. Elle permet de revenir à un état connu et de prouver la différence.