Accueil » Exploitation Web (OWASP top 10) » Portswigger Academy

Dans le monde de l'exploitation web vous êtes ici au sommet de la pyramide, en effet PortswiggerLtd est la société produisant Burp Suite est une application Java, qui peut être utilisée pour la sécurisation ou effectuer des tests de pénétration sur les applications web. La suite est composée de différents outils comme un serveur proxy (Burp Proxy), robot d’indexation (Burp Spider), un outil d'intrusion (Burp Intruder), un scanner de vulnérabilités (Burp Scanner) et un répéteur HTTP (Burp Repeater).

 

Serveur proxy

Lorsqu'elle est utilisée comme un serveur proxy, Burp Suite permet à l'utilisateur de manipuler le trafic qui passe au travers de celui-ci, entre le navigateur web et le serveur. C'est ce qu'on appelle  attaque de l'homme du milieu (Man In The Middle, en anglais). L'application utilise une interface permettant aisément la manipulation des données échangées dans les deux sens. Grâce à cette fonctionnalité, il est possible d'injecter des données non-conformes dans l'objectif de provoquer un comportement anormal de l'application et donc d'en identifier les bugs et vulnérabilités associées

 

Robot d'indexation

Le robot d'indexation permet d'initier des connexions avec l'application web, d’examiner les cookies et d'en parcourir les pages afin d'identifier sa structure interne.

 

Répéteur HTTP

Le répéteur est un outil simple permettant de renvoyer des requêtes HTTP selon un paramétrage défini afin d'observer le comportement de l'application web et en identifier les vulnérabilités

 

Burp Suite existe en 3 versions, nous utiliserons la version gratuite (Community Edition)

 

 

Potswigger Academy a été créé pour apprendre à se servir de Burp Suite et c'est donc la meilleur plateforme pour cela

 

 

Pour les débutants il est conseillé commencer par les exploitations de failles côté serveur. Ces vulnérabilités sont généralement plus faciles à apprendre car il  suffit de comprendre ce qui se passe sur le serveur.

 

Vulnérabilités côté serveur

 

 

 

Vulnérabilités côté client

 

Niveau avancé (pour les jedis)

 

 

 

pour suivre les différents tutos relatifs à ces laboratoires

 

Rendez-vous à la page

 

LABORATOIRE D'EXPLOITATION WEB