Burp Suite : Guide Complet Web Pentest 2026
Burp Suite est la référence absolue des outils de pentest d’applications web dans le monde de la cybersécurité professionnelle. Développé par PortSwigger, burp suite est utilisé quotidiennement par des milliers de professionnels pour tester les vulnérabilités web : injection SQL, XSS, CSRF, SSRF, authentification défaillante, logique métier et bien plus encore. Ce guide complet vous accompagne dans la maîtrise de burp suite du niveau débutant à avancé en 2026, avec toutes les fonctionnalités essentielles et les techniques professionnelles.
Qu’est-ce que Burp Suite ?
Burp suite est une plateforme intégrée de test de sécurité des applications web développée par la société britannique PortSwigger. Disponible en trois versions différentes, burp suite constitue le proxy d’interception de référence pour le pentest web dans le monde entier. Burp suite s’intercale entre le navigateur et les serveurs web pour capturer, analyser et modifier le trafic HTTP et HTTPS en temps réel lors des tests d’intrusion. La version Community Edition de burp suite est gratuite et entièrement fonctionnelle pour l’apprentissage.
L’OWASP, organisation mondiale de référence en sécurité applicative, recommande burp suite dans son guide de test des applications web disponible sur owasp.org/www-project-web-security-testing-guide. Chaque vulnérabilité de l’OWASP Top 10 peut être testée, analysée et exploitée grâce aux fonctionnalités de burp suite.
Architecture de Burp Suite
Burp suite est organisé en onglets fonctionnels, chacun dédié à une phase précise du pentest web. Cette organisation permet à burp suite d’accompagner le testeur tout au long de l’audit, de la cartographie initiale jusqu’à la confirmation des vulnérabilités découvertes.
Le Proxy Burp Suite
Le Proxy est le composant central de burp suite et le point de départ de tout test d’application web. Il capture tout le trafic HTTP et HTTPS transitant entre le navigateur et le serveur cible. Dans burp suite, le Proxy permet d’intercepter, d’analyser, de modifier et de rejouer chaque requête et réponse HTTP. La configuration du certificat CA de burp suite dans le navigateur est l’étape initiale indispensable pour inspecter le trafic HTTPS chiffré.
Le Repeater Burp Suite
Le Repeater de burp suite permet d’envoyer manuellement des requêtes HTTP modifiées et d’analyser en temps réel les réponses du serveur. C’est l’outil idéal dans burp suite pour tester manuellement des injections, manipuler des paramètres suspects et comprendre le comportement d’une application face à des entrées inattendues ou malveillantes. Le Repeater de burp suite conserve l’historique complet des requêtes envoyées pour faciliter la comparaison des résultats.
L’Intruder Burp Suite
L’Intruder de burp suite automatise les attaques par paramètre sur les applications web. Il permet de lancer des attaques par dictionnaire, par force brute ou par fuzzing personnalisé sur n’importe quel paramètre d’une requête HTTP interceptée. Dans la version Community de burp suite, l’Intruder est limité en vitesse d’envoi ; la version Professional lève cette restriction pour des tests d’authentification et de fuzzing plus rapides.
Le Scanner Burp Suite
Le Scanner actif de burp suite, réservé à la version Professional, analyse automatiquement les applications web à la recherche de vulnérabilités connues. Burp suite Scanner détecte les injections SQL dans toutes leurs variantes, les XSS réfléchis et stockés, les inclusions de fichiers, les SSRF, les XXE et des centaines d’autres vulnérabilités avec un taux de faux positifs maîtrisé et documenté.
Decoder et Comparer dans Burp Suite
Le Decoder de burp suite permet de convertir instantanément des données entre Base64, URL encoding, HTML entities, hex et autres formats couramment utilisés dans les applications web. Le Comparer de burp suite met en évidence visuellement les différences entre deux réponses HTTP, un outil particulièrement utile pour détecter des variations liées à des injections ou des changements de contexte lors des tests.
Configuration initiale de Burp Suite
La mise en place de burp suite nécessite quelques étapes de configuration initiales avant de commencer les tests. Dans burp suite, démarrez le Proxy sur l’adresse 127.0.0.1 port 8080 par défaut. Configurez votre navigateur Firefox ou Chrome pour utiliser ce proxy, l’extension FoxyProxy facilite grandement cette bascule entre la navigation normale et le mode burp suite. Téléchargez et installez ensuite le certificat CA de burp suite dans les autorités de certification de confiance de votre navigateur, disponible via http://burpsuite, pour déchiffrer le trafic HTTPS.
Pour les CTF et labs de sécurité, burp suite s’intègre parfaitement avec les plateformes HackTheBox et la PortSwigger Web Academy. Notre guide HackTheBox détaille comment utiliser burp suite dans le contexte de machines vulnérables réalistes qui reproduisent des environnements d’entreprise compromis.
Techniques de pentest web avec Burp Suite
Test d’injection SQL avec Burp Suite
Pour tester une injection SQL avec burp suite, commencez par intercepter dans le Proxy la requête contenant le paramètre suspect, envoyez-la dans le Repeater, puis modifiez le paramètre avec des payloads SQL classiques comme une apostrophe simple, un commentaire SQL ou une clause UNION SELECT. Burp suite permet de visualiser immédiatement les messages d’erreur SQL renvoyés et les changements de comportement révélateurs d’une injection. Pour aller plus loin sur les authentifications, notre article sur hacker un mot de passe complète les techniques de burp suite.
XSS avec Burp Suite
La détection des vulnérabilités XSS avec burp suite suit une approche méthodique : interceptez la requête dans burp suite Proxy, identifiez les paramètres dont la valeur est réfléchie dans la réponse HTML, testez des payloads JavaScript dans le Repeater. Burp suite Intruder peut être configuré pour tester automatiquement des centaines de payloads XSS en mode Sniper sur un paramètre cible, accélérant significativement la couverture des points d’entrée de l’application.
Authentification et gestion de sessions avec Burp Suite
Burp suite excelle particulièrement dans l’analyse des mécanismes d’authentification et de gestion des sessions web. Le module Session Handling de burp suite permet de maintenir une session active pendant les scans automatisés. L’analyse des tokens CSRF, des tokens JWT et des cookies de session avec burp suite Decoder et Intruder révèle souvent des faiblesses cryptographiques, des validations insuffisantes ou des durées de vie trop longues.
PortSwigger Web Academy : apprendre Burp Suite gratuitement
PortSwigger propose Web Academy, une plateforme d’apprentissage entièrement gratuite dédiée au pentest web avec burp suite. Les labs interactifs de Web Academy couvrent exhaustivement toutes les catégories OWASP : injection SQL dans toutes ses variantes, XSS réfléchi et stocké, SSRF, XXE, désérialisation non sécurisée, vulnérabilités de logique métier complexes. Chaque lab de Web Academy est conçu pour être résolu avec burp suite et s’accompagne d’explications théoriques détaillées sur les mécanismes de la vulnérabilité.
La certification Burp Suite Certified Practitioner (BSCP) délivrée par PortSwigger est reconnue par les employeurs du secteur de la cybersécurité comme preuve de maîtrise concrète de burp suite en conditions réelles. Le CERT-FR publie régulièrement des bulletins sur les vulnérabilités critiques des applications web que burp suite peut être utilisé pour tester, consultables sur cert.ssi.gouv.fr/avis.
Burp Suite Extensions et BApp Store
Burp suite dispose d’un écosystème d’extensions riche via le BApp Store intégré à l’interface. Les extensions burp suite les plus populaires et utiles incluent Logger++ pour un logging HTTP avancé et filtrable, Turbo Intruder pour des attaques Intruder ultra-rapides avec Python, JSON Beautifier pour la lisibilité des données JSON, ActiveScan++ pour des règles de scan supplémentaires, et JWT Editor pour analyser et manipuler les tokens JWT. Ces extensions transforment burp suite en une plateforme de pentest web encore plus complète et adaptée aux besoins spécifiques de chaque testeur.
Burp Suite en environnement professionnel et CTF
En pentest professionnel, burp suite est utilisé dans toutes les phases d’un audit web : cartographie de l’application avec le Spider et le Crawl actif, test manuel approfondi avec le Proxy et le Repeater, attaques automatisées avec l’Intruder et le Scanner, puis documentation structurée des vulnérabilités découvertes. Burp suite génère des rapports d’audit exportables en HTML et XML pour la phase de restitution client, ce qui simplifie considérablement le travail de reporting.
Pour les hackathons et CTF, burp suite est souvent l’outil décisif dans les challenges web. La combinaison burp suite avec nmap scanner et Metasploit constitue le triptyque de base de tout pentesteur complet. Notre article sur le câble OMG illustre comment burp suite complète les tests de sécurité matériels en capturant le trafic généré par des attaques physiques. Retrouvez toutes nos ressources pédagogiques sur la page À propos de Hackathon HI Paris.
FAQ — Burp Suite
Burp Suite Community Edition est-elle suffisante pour apprendre ?
Oui, burp suite Community Edition est largement suffisante pour apprendre le pentest web et participer aux CTF. Les limitations principales de la version gratuite de burp suite sont l’Intruder bridé en vitesse d’envoi et l’absence du Scanner automatisé. Pour les audits professionnels avec clients, burp suite Professional est indispensable pour la productivité et la complétude des tests.
Burp Suite fonctionne-t-il avec les applications mobiles ?
Oui, burp suite peut intercepter le trafic des applications mobiles iOS et Android en configurant le proxy burp suite sur le réseau WiFi du device mobile. Des manipulations supplémentaires sont nécessaires pour contourner le certificate pinning que certaines applications implémentent spécifiquement contre l’interception par un outil comme burp suite.
Quelle est la différence entre Burp Suite et OWASP ZAP ?
OWASP ZAP est l’alternative open source entièrement gratuite à burp suite. ZAP est excellent pour l’automatisation et l’intégration dans des pipelines CI/CD, mais burp suite offre une expérience de test manuel nettement supérieure, un scanner plus précis et un écosystème d’extensions bien plus riche. La majorité des pentesteurs professionnels choisissent burp suite Professional pour leurs missions d’audit.
Comment configurer Burp Suite pour les applications HTTPS ?
Pour intercepter le trafic HTTPS avec burp suite, naviguez vers http://burpsuite dans votre navigateur proxifié, téléchargez le certificat CA de burp suite puis installez-le dans les autorités de certification de confiance de votre navigateur. Burp suite peut alors déchiffrer et rechiffrer le trafic HTTPS de façon complètement transparente pour l’application testée.
Burp Suite peut-il tester des API REST et GraphQL ?
Oui, burp suite gère nativement les API REST utilisant JSON ou XML et les API GraphQL. Le module Repeater de burp suite est particulièrement adapté au test manuel et méthodique des endpoints API. Pour GraphQL, l’extension InQL disponible dans le BApp Store de burp suite ajoute des fonctionnalités spécialisées d’introspection, de génération de requêtes et de fuzzing adaptées aux spécificités de ce type d’API.
— Équipe Hackathon HI Paris | Mise à jour : avril 2026
