Introduction
Burp Suite est une boîte à outils essentielle pour les tests de sécurité des applications web. L'un de ses outils les plus polyvalents est le Burp Decoder. Le Decoder vous permet de transformer des données d'un format à un autre, un processus connu sous le nom d'encodage et de décodage. Ceci est crucial lorsque vous traitez des données qui sont obscurcies ou transmises dans des formats spécifiques, tels que Base64, URL ou HTML.
Dans ce laboratoire, vous acquerrez une expérience pratique avec le Burp Decoder. Vous apprendrez à prendre un morceau de données encodé, à le décoder dans sa forme originale, à le modifier, puis à le ré-encoder. Cette compétence fondamentale est utilisée quotidiennement par les professionnels de la sécurité pour analyser et manipuler des données au sein des applications web.
Copier une chaîne encodée en Base64 dans votre presse-papiers
Dans cette étape, vous commencerez par copier une chaîne encodée en Base64 d'exemple. Nous avons préparé un fichier contenant cette chaîne dans votre répertoire de projet.
Tout d'abord, ouvrez un Terminal depuis le menu de l'application sur votre bureau.
Ensuite, utilisez la commande cat pour afficher le contenu du fichier base64_string.txt :
cat ~/project/base64_string.txt
Vous devriez voir la sortie suivante :
TGFiRXggcm9ja3Mh
Maintenant, utilisez votre souris pour sélectionner la chaîne TGFiRXggcm9ja3Mh et copiez-la dans votre presse-papiers (généralement en faisant un clic droit et en sélectionnant 'Copier', ou en utilisant le raccourci Ctrl+Shift+C).
Coller la chaîne dans la fenêtre Burp Decoder
Dans cette étape, vous allez lancer Burp Suite et coller la chaîne copiée dans l'outil Decoder.
Tout d'abord, trouvez et lancez Burp Suite. Vous pouvez généralement le trouver dans le menu des applications, souvent sous une catégorie telle que 'Web' ou 'Security'.
Lorsque Burp Suite démarre, un écran de démarrage apparaîtra. Sélectionnez 'Temporary project' puis cliquez sur 'Next'. Sur l'écran suivant, sélectionnez 'Use Burp defaults' et cliquez sur 'Start Burp'.
Une fois la fenêtre principale de Burp Suite ouverte, naviguez vers l'onglet Decoder. Vous le verrez parmi les onglets de premier niveau tels que 'Proxy', 'Intruder', etc.
L'interface du Decoder comporte une grande zone de texte en haut. Cliquez à l'intérieur de cette zone et collez la chaîne Base64 que vous avez copiée à l'étape précédente (en utilisant Ctrl+V ou un clic droit et 'Paste'). La fenêtre devrait maintenant ressembler à ceci, avec votre texte collé dans la section supérieure.
Utiliser le menu déroulant 'Decode as...' et sélectionner 'Base64'
Maintenant que vous avez les données encodées dans Decoder, l'étape suivante consiste à les décoder. Burp Decoder prend en charge de nombreux formats d'encodage et de hachage courants.
Sur le côté droit de la fenêtre, vous verrez un ensemble de boutons. Cliquez sur le menu déroulant 'Decode as...'.
Une liste d'options de décodage apparaîtra. Dans cette liste, sélectionnez 'Base64'.
Instantanément, le texte décodé apparaîtra dans la fenêtre de sortie ci-dessous. Vous devriez voir la chaîne originale, lisible par l'homme :
LabEx rocks!
Cela démontre la fonctionnalité de décodage de base. Vous avez converti avec succès une chaîne Base64 en sa forme textuelle d'origine.
Modifier le texte décodé
Dans cette étape, vous allez modifier le texte décodé directement dans Burp Decoder. C'est une fonctionnalité puissante qui vous permet de manipuler les données à la volée avant de les réencoder.
La fenêtre de sortie où 'LabEx rocks!' est affiché est un champ modifiable. Cliquez à l'intérieur de cette fenêtre et modifiez le texte. Pour ce laboratoire, changeons-le en :
Burp is cool!
Lorsque vous tapez, vous remarquerez que la représentation dans la fenêtre supérieure (les données brutes, originales) change en temps réel. Cela vous montre l'effet en direct de vos modifications.
Utiliser le menu déroulant 'Encode as...' pour réencoder le texte
Enfin, vous allez réencoder votre texte modifié au format Base64. Cela complète le cycle de décodage, modification et encodage des données.
Avec votre texte modifié Burp is cool! toujours dans la fenêtre de sortie, regardez à nouveau les boutons sur le côté droit. Cette fois, cliquez sur le menu déroulant 'Encode as...'.
Dans la liste des options d'encodage, sélectionnez 'Base64'.
Le texte dans la fenêtre supérieure sera maintenant mis à jour avec la nouvelle représentation Base64 de votre chaîne modifiée. Elle devrait maintenant être :
QnVycCBpcyBjb29sIQ==
Vous avez maintenant réussi à prendre une chaîne originale, à la décoder, à modifier son contenu et à la réencoder en Base64. C'est un flux de travail courant lors des tests de vulnérabilités telles que les contournements d'autorisation ou la falsification de paramètres.
Résumé
Félicitations ! Vous avez terminé avec succès ce laboratoire sur l'utilisation de Burp Decoder.
Dans ce laboratoire, vous avez appris à :
- Coller des données dans Burp Decoder.
- Décoder des données de Base64 en texte brut.
- Modifier les données en texte brut décodées directement dans l'interface.
- Réencoder les données modifiées au format Base64.
C'est une compétence fondamentale pour tout testeur de sécurité web, car elle permet l'analyse et la manipulation rapides des données échangées entre un client et un serveur. Maîtriser le Decoder accélérera considérablement votre flux de travail lors des tests d'intrusion.