Introduction
Burp Suite est une plateforme puissante pour effectuer des tests de sécurité des applications web. L'une de ses fonctionnalités principales est son serveur proxy, qui se place entre votre navigateur et l'application cible, vous permettant d'intercepter, d'inspecter et de modifier le trafic.
Traditionnellement, l'utilisation d'un proxy nécessitait la configuration manuelle des paramètres réseau de votre navigateur web. Ce processus peut être fastidieux et parfois entrer en conflit avec d'autres paramètres système ou réseau. Pour simplifier ce flux de travail, Burp Suite inclut un navigateur embarqué. Il s'agit d'un navigateur Chromium préconfiguré, lancé depuis Burp Suite et automatiquement configuré pour utiliser le proxy Burp.
Dans ce laboratoire, vous apprendrez à lancer et à utiliser le navigateur embarqué de Burp Suite pour capturer le trafic web sans aucune configuration manuelle.
Naviguer vers l'onglet Proxy > Intercept
Dans cette étape, vous allez lancer Burp Suite et naviguer vers l'onglet principal utilisé pour intercepter le trafic.
Tout d'abord, trouvez l'icône Burp Suite Community Edition sur le bureau et double-cliquez dessus pour démarrer l'application.
Une boîte de dialogue intitulée "Burp Suite Community Edition" apparaîtra. Elle peut mentionner qu'une nouvelle version est disponible ; vous pouvez l'ignorer. La boîte de dialogue "Project" apparaîtra également. Nous utiliserons un projet temporaire pour ce laboratoire.
- Dans la boîte de dialogue "Select project", laissez Temporary project sélectionné et cliquez sur Next.
- Dans la boîte de dialogue "Select configuration", laissez Use Burp defaults sélectionné et cliquez sur Start Burp.
Après un moment, la fenêtre principale de Burp Suite s'ouvrira. L'interface est organisée en plusieurs onglets en haut. Pour ce laboratoire, nous nous intéressons à l'onglet Proxy.
Cliquez sur l'onglet Proxy. Par défaut, il s'ouvrira sur son propre sous-onglet, Intercept. C'est l'écran où vous pouvez visualiser et modifier les requêtes et réponses HTTP/S en direct lorsqu'elles passent par le proxy.
Assurez-vous d'être sur l'onglet Proxy > Intercept avant de passer à l'étape suivante.
Cliquer sur le bouton 'Open Browser'
Dans cette étape, vous allez lancer le navigateur embarqué de Burp.
Avec l'onglet Proxy > Intercept visible, vous verrez plusieurs boutons. L'un d'eux est intitulé Open Browser. Ce bouton est la clé pour utiliser la fonctionnalité du navigateur embarqué.
Cliquer sur ce bouton lancera une nouvelle instance du navigateur Chromium qui est isolée (sandboxed) et préconfigurée pour router tout son trafic via l'instance du proxy Burp Suite fonctionnant sur 127.0.0.1:8080.
Maintenant, cliquez sur le bouton Open Browser.
Observer le lancement de la nouvelle fenêtre du navigateur Chromium
Après avoir cliqué sur le bouton de l'étape précédente, une nouvelle fenêtre de navigateur devrait apparaître sur votre écran.
C'est le navigateur embarqué de Burp. Remarquez qu'il ressemble à un navigateur Chromium standard, mais qu'il s'exécute comme un processus distinct géré par Burp Suite.
La chose la plus importante à comprendre est que ce navigateur est déjà configuré pour le proxy. Vous n'avez pas eu à aller dans des menus de configuration, à trouver des configurations de proxy, ou à taper une adresse IP et un numéro de port. Il fonctionne directement, envoyant tout son trafic à Burp Suite pour interception et enregistrement. Cela permet de gagner du temps et d'éviter les erreurs de configuration.
Prenez un moment pour vous familiariser avec cette nouvelle fenêtre de navigateur. Vous l'utiliserez à l'étape suivante pour naviguer vers un site web cible.
Utiliser le navigateur embarqué pour naviguer vers une cible
Dans cette étape, vous utiliserez le navigateur embarqué pour visiter un site web et observer comment Burp Suite intercepte le trafic.
Par défaut, l'interception est activée dans Burp Suite. Cela signifie que toute requête que vous effectuerez sera mise en pause dans Burp Suite, attendant votre approbation pour continuer. Pour ce test initial, désactivons l'interception pour voir le journal de trafic se remplir.
Retournez à la fenêtre principale de Burp Suite. Dans l'onglet
Proxy>Intercept, vous verrez un bouton indiquant Intercept is on. Cliquez dessus une fois pour désactiver l'interception. Le texte du bouton changera pour Intercept is off.Maintenant, revenez à la fenêtre du navigateur Chromium embarqué que vous avez ouverte précédemment.
Dans la barre d'adresse du navigateur embarqué, tapez l'URL suivante et appuyez sur Entrée :
http://portswigger.net
Étant donné que l'interception est désactivée, la requête passera par le proxy sans pause, et le site web de PortSwigger devrait se charger dans le navigateur.
Vérifier que le trafic de ce navigateur apparaît dans l'historique du proxy sans configuration manuelle
Dans cette dernière étape, vous verrez la preuve que le trafic du navigateur embarqué a été correctement proxyfié via Burp Suite.
Retournez à la fenêtre principale de Burp Suite. Dans l'onglet Proxy, il y a plusieurs sous-onglets. Cliquez sur celui nommé HTTP history.
L'onglet HTTP history affiche un journal de toutes les requêtes HTTP qui sont passées par le Proxy Burp. Vous devriez maintenant voir une liste de requêtes, y compris plusieurs vers l'hôte portswigger.net. Vous pouvez cliquer sur l'une de ces entrées pour voir la requête et la réponse complètes dans les panneaux situés en dessous.
Cela confirme que le navigateur embarqué a fonctionné comme prévu. Vous l'avez lancé avec succès, navigué vers un site web et capturé le trafic résultant dans Burp Suite, le tout sans effectuer de configuration manuelle du proxy du navigateur. Cette intégration transparente est une fonctionnalité clé qui rend Burp Suite efficace et facile à utiliser.
Résumé
Dans ce laboratoire, vous avez découvert l'une des fonctionnalités les plus fondamentales et pratiques de Burp Suite : le navigateur embarqué.
Vous avez réussi à :
- Lancer Burp Suite et naviguer vers l'onglet Proxy.
- Ouvrir le navigateur Chromium embarqué en un seul clic.
- Utiliser le navigateur pour naviguer vers un site web.
- Vérifier que le trafic était automatiquement enregistré dans l'historique HTTP du Proxy sans aucune configuration manuelle.
L'utilisation du navigateur embarqué est la méthode recommandée pour travailler avec Burp Suite, car elle garantit un environnement de navigation propre et isolé, dont la configuration pour le proxy est garantie d'être correcte. Cette compétence est essentielle pour effectuer efficacement des tests de sécurité d'applications web.