Burp Suite est un outil populaire et puissant utilisé par les professionnels de la sécurité, les développeurs et les testeurs d'assurance qualité pour identifier et corriger les vulnérabilités de sécurité dans les applications Web.
Apprenons ce qu'est Burp Suite et comment vous pouvez l'installer et le configurer sur votre système Linux.
Qu'est-ce que Burp Suite?
Burp Suite est un outil puissant utilisé pour évaluer la sécurité des applications Web. Il fonctionne essentiellement comme un proxy MITM (man-in-the-middle), vous permettant d'intercepter, d'inspecter et de manipuler le trafic de manière bidirectionnelle.
Il est équipé d'un puissant arsenal d'outils que vous pouvez utiliser pour identifier et exploiter les vulnérabilités des applications Web. La suite comprend des outils pour effectuer des analyses automatisées, des tests manuels et des attaques personnalisées.
Vous pouvez utiliser Burp Suite à diverses fins, notamment pour identifier les injections SQL (SQLi), les scripts intersites (XSS) et autres failles de sécurité. Burp Suite est hautement personnalisable et vous pouvez l'adapter pour répondre aux besoins spécifiques de test d'une application cible.
Prérequis pour l'installation de Burp Suite sur Linux
Avant d'installer un logiciel, il est recommandé de mettre à jour et de mettre à niveau le système pour s'assurer qu'il dispose des derniers correctifs et mises à jour de sécurité. Vous pouvez le faire en utilisant les commandes suivantes :
Sur Ubuntu- et Distributions Linux basées sur Debian:
sudo apt update && apt upgrade -y
Sur Arch Linux et ses dérivés :
sudo pacman-Syu
Sur RHEL et Fedora :
mise à niveau sudo dnf
Une fois que vous avez mis à jour et mis à niveau votre système, vous êtes prêt à passer aux étapes suivantes.
Télécharger et installer Burp Suite sur Linux
Vous pouvez télécharger Burp Suite sur le site officiel de PortSwigger. Ils sont les développeurs et les mainteneurs de Burp Suite.
Télécharger:Burp Suite
Voici les étapes pour télécharger et installer Burp Suite sur votre système Linux :
- Lancez un navigateur et ouvrez le site Web officiel de PortSwigger et accédez à la page de téléchargement. Ou, cliquez simplement sur le lien de téléchargement ci-dessus.
- L'édition communautaire de Burp Suite est gratuite et suffisante si vous débutez avec la prime de bogue et la sécurité des applications. Sélectionner Burp Suite Édition communautaire du menu déroulant pour Linux 64 bits pour commencer le téléchargement.
- Une fois le téléchargement terminé, ouvrez un terminal et exécutez le script. Pour ce faire, accédez au répertoire où vous avez téléchargé le fichier en utilisant la commande cd. Ensuite, rendez le fichier exécutable en utilisant:
chmod +x burpsuite_community_linux*.sh
- Enfin, exécutez le script en lançant:
./burpsuite_community_linux*.sh
- Une fois que vous avez exécuté le script, vous devriez être accueilli par le programme d'installation de Burp Suite où vous pouvez configurer l'installation à votre guise.
Vous devriez maintenant avoir Burp Suite installé sur votre système Linux. Pour lancer Burp Suite, ouvrez le tiroir de l'application et recherchez-le. Vous pouvez l'ajouter à votre dock/favoris pour un accès rapide.
Une fois le processus d'installation terminé, passons à la configuration de Burp Suite pour les tests de sécurité.
Configuration du navigateur Web pour Burp Suite
Burp Suite est conçu pour fonctionner avec la plupart des navigateurs Web modernes. Cependant, vous devez effectuer une configuration supplémentaire pour vous assurer que Burp Suite peut communiquer correctement avec le navigateur.
Pour la démonstration, nous utiliserons Mozilla Firefox comme navigateur principal.
La première étape de la configuration de votre navigateur pour une utilisation avec Burp Suite consiste à installer l'extension FoxyProxy Standard. FoxyProxy est un outil qui permet aux utilisateurs de configurer leur navigateur pour utiliser un serveur proxy. Ceci est crucial pour que Burp Suite intercepte et modifie le trafic entre le navigateur et le serveur.
Vous pouvez trouver l'extension de navigateur FoxyProxy sur le Chrome Web Store pour Google Chrome ou sur la page Addons pour Mozilla Firefox.
Télécharger: FoxyProxy (Google Chrome | MozillaFirefox)
Une fois FoxyProxy installé avec succès, l'étape suivante consiste à le configurer correctement pour utiliser Burp Suite comme serveur proxy. Suivez les étapes ci-dessous pour la configuration :
- Ouvrez les options FoxyProxy en cliquant sur l'icône FoxyProxy dans le menu des extensions et en sélectionnant Choix dans le menu déroulant.
- Clique sur le Ajouter un nouveau proxy bouton pour créer une nouvelle configuration de proxy. Dans le Détails du proxy, entrez un nom pour la nouvelle configuration de proxy, par exemple Burp Suite.
- Dans le Adresse IP proxy champ, entrez 127.0.0.1, et enfin, dans le Port proxy champ, entrez le numéro de port sur lequel Burp Suite écoute (par défaut, il s'agit de 8080).
- Enregistrez la nouvelle configuration du proxy en cliquant sur le Sauvegarder bouton. Une fois enregistrée, activez la configuration du proxy en cliquant sur l'icône FoxyProxy dans la barre d'outils et en sélectionnant la nouvelle configuration du proxy dans le menu déroulant.
Vous avez maintenant configuré avec succès votre navigateur pour envoyer et recevoir du trafic vers et depuis l'application Burp Suite.
Pour le tester, il suffit d'activer l'extension FoxyProxy, et sous le Procuration dans l'application Burp Suite, cliquez sur Interception activée. Vous devriez voir les requêtes entrantes remplies de trafic Web.
Désinstaller Burp Suite de Linux
Parfois, vous pouvez rencontrer des erreurs avec Burp Suite ou, en général, rencontrer des problèmes de configuration. La meilleure façon de résoudre ce problème est une réinstallation propre de l'application Burp Suite.
Alors que le processus d'installation et de configuration de Burp Suite est assez long, en revanche, le processus de désinstallation est un jeu d'enfant. Pour désinstaller Burp Suite, accédez au répertoire dans lequel il est installé. N'oubliez pas que vous l'avez défini lors du processus d'installation.
Dans le répertoire de l'application, vous trouverez un uninstall.sh scénario. Rendez-le exécutable en utilisant le "chmod +x nom de fichier" et exécutez-le. Cela devrait déclencher le programme de désinstallation que vous pouvez utiliser pour désinstaller Burp Suite de votre distribution Linux.
Pour réinstaller Burp Suite, refaites simplement toutes les étapes que vous avez suivies pour l'installer la première fois.
Bien que Burp Suite soit l'un des meilleurs outils de test de sécurité sur le marché, il n'est pas judicieux de s'appuyer sur un seul outil pour tester en profondeur la sécurité de votre site Web ou de votre application.
Il existe de nombreux autres outils d'analyse de vulnérabilités qui automatisent la recherche de vulnérabilités et, lorsqu'ils sont associés à Burp Suite, peuvent tester de manière approfondie la sécurité de vos applications.