Pentest Web
Burp Suite
Méthodologie OWASP, cartographie, authentification, autorisation, sessions, entrées et validation manuelle avec Burp/ZAP.
Proxy
Utilise le navigateur intégré ou un profil dédié. Installe la CA Burp uniquement dans ce profil.
Workflow
- naviguer avec Proxy history ;
- marquer les requêtes importantes ;
- envoyer vers Repeater ;
- modifier une variable à la fois ;
- comparer statut, taille, temps et contenu ;
- documenter la requête de référence.
Repeater
GET /api/orders/1001 HTTP/1.1
Host: lab.example.test
Cookie: session=TEST_TOKEN
Accept: application/json
Teste les identifiants, méthodes, headers et rôles uniquement sur des données de lab.
Intruder
Utilise de petites listes, un débit faible et une position précise pour la validation d’entrée ou l’énumération contrôlée. Les attaques de mots de passe sont couvertes séparément et nécessitent des limites strictes.
Collaborator
Les tests hors bande envoient des données vers un service externe. Vérifie que le domaine et la confidentialité sont acceptés par le client.