Burp Suite
Workflow de test web autorisé
Proxy d’interception et tests manuels d’applications web avec Proxy, Repeater, Intruder et outils d’analyse.
Cartographie
Identifie :
- domaines et API ;
- rôles ;
- authentification et MFA ;
- fonctions sensibles ;
- uploads/downloads ;
- appels tiers ;
- frontières de confiance.
Séquence de test
- navigation passive ;
- analyse des contrôles client/serveur ;
- tests d'autorisation ;
- validation d'entrée ;
- gestion de session ;
- fichiers et API ;
- erreurs et headers ;
- reproduction minimale ;
- nettoyage des données créées.
Fiche de constat
| Champ | Contenu |
|---|---|
| Titre | clair et spécifique |
| Actif | URL et environnement |
| Préconditions | compte/rôle |
| Étapes | reproductibles |
| Preuve | requête/réponse nettoyée |
| Impact | scénario métier |
| Sévérité | justification |
| Correctif | mesure précise |
| Retest | résultat et date |
Données sensibles
Masque tokens, cookies, mots de passe et données personnelles dans les captures et rapports.
Retest
Valide le correctif et les effets de bord. Une réponse 403 peut être correcte, mais vérifie que les données ne sont pas encore retournées dans le corps ou une autre API.
Scénario — Contrôle d’accès
Deux comptes de test possèdent des rôles distincts. Compare la même requête dans Repeater. Le constat doit démontrer l’accès non autorisé sans extraire davantage de données que nécessaire.