JeTelecharge > Windows > Internet > Outil site web/Référencer > Burp Suite > FAQ - Tutoriel

Comment installer et utiliser Burp Suite sur PC ?

Tutoriel permettant une prise en main facile de l'application Burp Suite sur un PC Windows. De l'installation à l'accès aux fonctionnalités, en passant par la configuration et ses réglages. L'objectif est de vous éviter les erreurs et d'indiquer l'étendue des possibilités. Les intitulés peuvent varier selon la version installée et la langue sélectionnée.
télécharger

Que permet de faire Burp Suite ?

Burp Suite est un outil essentiel pour les professionnels de la cybersécurité et les chercheurs en vulnérabilités web. Il permet d'intercepter, d'analyser et de manipuler le trafic HTTP/HTTPS entre un navigateur et un serveur web, révélant ainsi les failles de sécurité potentielles telles que les injections SQL, le cross-site scripting (XSS) et bien d'autres.

Comment le télécharger ?

Rendez-vous sur la page dédiée à Burp Suite sur la logithèque

Comment installer et utiliser Burp Suite ?

L'installation et la configuration de Burp Suite sont des étapes cruciales pour commencer à tester la sécurité des applications web. Voici un guide détaillé pour vous aider.

Installation

  1. Lancer l'installateur : Exécutez le fichier d'installation de Burp Suite que vous avez téléchargé pour votre système d'exploitation (Windows, macOS, Linux).
  2. Suivre les instructions : Suivez les instructions à l'écran pour terminer l'installation. Pour les débutants, il est souvent recommandé de cliquer sur "Next" puis "Start Burp" pour utiliser les configurations par défaut et ignorer les options de projet avancées.

Configuration du Proxy

Burp Suite fonctionne comme un serveur proxy, se plaçant entre votre navigateur et le serveur web pour intercepter le trafic. La configuration du proxy est donc essentielle.

  1. Vérifier les paramètres du proxy Burp : Dans Burp Suite, allez dans l'onglet "Proxy", puis "Options". Assurez-vous que le serveur proxy écoute sur 127.0.0.1 (localhost) et le port 8080, qui sont les paramètres par défaut.
  2. Configurer votre navigateur : Vous devez configurer votre navigateur web pour qu'il utilise Burp Suite comme proxy.
    • Pour Firefox : Allez dans "Paramètres" > "Général" > "Paramètres réseau". Sélectionnez "Configuration manuelle du proxy" et entrez 127.0.0.1 pour le proxy HTTP et 8080 pour le port.
    • Pour Chrome : Allez dans "Paramètres" > "Système" > "Ouvrir les paramètres de proxy de votre ordinateur". Dans la section "Proxy manuel", activez-le et configurez l'adresse IP sur 127.0.0.1 et le port sur 8080.
    • Utilisation d'extensions (recommandé) : Des extensions comme FoxyProxy pour Firefox ou Chrome simplifient grandement la gestion des configurations de proxy. Vous pouvez facilement activer ou désactiver le proxy Burp en un clic.
  3. Installer le certificat CA de Burp (pour le trafic HTTPS) : Pour intercepter le trafic HTTPS, vous devez installer le certificat d'autorité de certification (CA) de Burp dans votre navigateur.
    • Dans Burp Suite, assurez-vous que le proxy est activé (Intercept is on) et allez dans "Proxy" > "Proxy Settings" > "Import / export CA certificate". Cliquez sur "Export" pour télécharger le certificat, puis importez-le dans les paramètres de confiance de votre navigateur. Cela permet à Burp de décrypter et de réinspecter le trafic chiffré.

Utilisation des fonctionnalités principales

Une fois Burp Suite installé et configuré, vous pouvez commencer à explorer ses outils :

  • Proxy : C'est le coeur de Burp.

    • Intercept : Cet onglet vous permet d'intercepter les requêtes HTTP/HTTPS envoyées par votre navigateur avant qu'elles n'atteignent le serveur, et les réponses du serveur avant qu'elles n'arrivent à votre navigateur. Vous pouvez inspecter, modifier (par exemple, changer un paramètre de prix) et ensuite "Forward" (transmettre) la requête ou la réponse, ou la "Drop" (rejeter).
    • HTTP history : Cet onglet enregistre tout le trafic HTTP/HTTPS intercepté et traité par Burp. Vous pouvez y voir toutes les requêtes et réponses, filtrer le trafic et envoyer des requêtes spécifiques à d'autres outils de Burp.

  • Target (Cible) : Cet onglet affiche une arborescence de tous les sites et ressources que vous avez explorés via le proxy Burp. Il permet de visualiser la structure de l'application cible et de définir la portée (scope) de vos tests.

  • Repeater (Répéteur) : Cet outil vous permet de modifier manuellement une requête interceptée et de la renvoyer au serveur plusieurs fois pour analyser les différentes réponses. C'est très utile pour tester différentes charges utiles (payloads) et comprendre le comportement de l'application en réponse à des modifications spécifiques. Pour utiliser Repeater, faites un clic droit sur une requête dans l'historique du proxy ou l'onglet Target et sélectionnez "Send to Repeater".

  • Intruder (Intrus) : Intruder est un outil puissant pour automatiser des attaques personnalisées, comme le fuzzing de paramètres, le brute force de mots de passe, ou l'injection de payloads. Vous sélectionnez une requête, définissez les positions où les payloads seront injectés, choisissez les types de payloads, puis lancez l'attaque. La version Community Edition a des limitations de débit pour Intruder. Pour l'utiliser, faites un clic droit sur une requête et sélectionnez "Send to Intruder".

  • Decoder (Décodeur) : Cet outil permet d'encoder et de décoder des données dans différents formats (URL, Base64, hexadécimal, HTML, etc.). Il est utile pour analyser des tokens, des cookies ou des données obscurcies, et dispose d'une fonction "Smart Decode" pour tenter de deviner le schéma d'encodage.

  • Comparer (Comparer) : Comparer vous permet de visualiser les différences entre deux requêtes ou deux réponses HTTP. C'est particulièrement utile après avoir utilisé Intruder pour comparer rapidement les résultats de différentes attaques, ou pour identifier des variations subtiles dans les réponses de l'application. Pour l'utiliser, sélectionnez deux éléments, faites un clic droit et choisissez "Send to Comparer". Vous pouvez ensuite choisir entre une comparaison "Words" (mot à mot) ou "Bytes" (octet par octet).

  • Sequencer (Séquenceur) : Cet outil analyse la qualité des valeurs aléatoires ou des jetons (tokens) générés par une application, comme les identifiants de session ou les jetons CSRF, pour évaluer leur prédictibilité.

  • Scanner : La version Community Edition de Burp Suite n'inclut pas le scanner automatique. Cette fonctionnalité est réservée à la version Professional et permet d'identifier automatiquement des vulnérabilités comme les injections SQL ou XSS.

  • Logger : L'onglet Logger enregistre tout le trafic HTTP généré par les outils de Burp Suite en temps réel, y compris les requêtes envoyées par des extensions ou par le scanner (dans la version Pro). Il complète l'historique HTTP du proxy en offrant une vue plus globale du trafic généré par Burp.




FAQ créée le 25/03/2026 et éditée le 27/03/2026
Télécharger Burp Suite gratuitement