Burp Suite Community est-elle suffisante pour le bug bounty ?

Oui, la version Community (gratuite) est suffisante pour débuter et même pour des niveaux intermédiaires. Elle inclut le Proxy, le Repeater, l'Intruder (limité en vitesse), le Decoder et le Comparer. La version Pro ajoute un scanner automatique, l'Intruder sans limite de vitesse, et des outils d'audit — utiles mais non indispensables au départ.

Burp Suite fonctionne-t-il sur Windows et Linux ?

Oui, Burp Suite est disponible sur Windows, Linux et macOS. Il nécessite Java (JRE 11 minimum). Sur Kali Linux, il est pré-installé. Sur Windows, il existe un installeur .exe qui inclut Java.

Comment configurer Firefox pour utiliser Burp Suite ?

Dans Firefox : Paramètres > Général > Paramètres réseau > Configuration manuelle du proxy. Renseignez 127.0.0.1 comme hôte et 8080 comme port. Installez ensuite le certificat CA de Burp en visitant http://burpsuite et en téléchargeant le certificat. Importez-le dans Firefox (Paramètres > Vie privée > Certificats).

C'est quoi la différence entre l'Intruder et le Repeater dans Burp ?

Le Repeater permet d'envoyer et modifier manuellement une requête HTTP autant de fois que vous le souhaitez — parfait pour tester une vulnérabilité précise. L'Intruder automatise l'envoi de nombreuses requêtes en faisant varier un ou plusieurs paramètres selon une liste — idéal pour le fuzzing et les attaques par force brute.

Peut-on utiliser Burp Suite pour intercepter du trafic HTTPS ?

Oui, c'est même son usage principal. En installant le certificat CA de Burp dans votre navigateur, celui-ci fait confiance à Burp qui peut alors déchiffrer, inspecter et modifier le trafic HTTPS avant de le retransmettre au serveur. C'est ce qu'on appelle une attaque man-in-the-middle (MITM) légitime dans un contexte de test.

Burp Suite : tutoriel complet pour le bug bounty en 2025

Burp Suite est l’outil numéro un de tout bug bounty hunter. Si vous faites du bug bounty sans Burp, vous vous battez avec une main dans le dos. Ce guide vous explique tout ce qu’il faut savoir pour maîtriser Burp Suite et l’utiliser efficacement dans vos programmes de bug bounty.

Qu’est-ce que Burp Suite ?

Burp Suite est une plateforme de test de sécurité web développée par PortSwigger. C’est un proxy HTTP qui se place entre votre navigateur et le serveur web, vous permettant d’intercepter, analyser et modifier toutes les requêtes HTTP/HTTPS en temps réel.

En clair : tout ce que votre navigateur envoie et reçoit passe par Burp. Vous pouvez voir exactement ce qui se passe “sous le capot” d’une application web, modifier les requêtes à la volée, et tester des vulnérabilités de manière précise et contrôlée.

Les deux versions principales

Burp Suite Community Edition (gratuite)

Proxy HTTP/HTTPS
Repeater (envoi manuel de requêtes)
Intruder (limité à 1 thread)
Decoder, Comparer, Sequencer
Suffisante pour 80% des besoins en bug bounty

Burp Suite Professional (~449$/an)

Scanner automatique de vulnérabilités
Intruder sans limitation de vitesse
Collaborator (pour tester les SSRF et XXE blind)
Extensions avancées via BApp Store

Pour débuter, la version Community est amplement suffisante. Investissez dans la Pro uniquement quand vous générez déjà des revenus en bug bounty.

Installation et configuration initiale

Installation

Rendez-vous sur portswigger.net/burp
Téléchargez la version Community pour votre OS
Lancez l’installeur (inclut Java sur Windows/macOS)
Au premier lancement, choisissez “Temporary project” pour commencer

Configurer votre navigateur

Pour que le trafic passe par Burp, vous devez configurer un proxy dans votre navigateur.

Recommandation : utilisez Firefox dédié à Burp, séparé de votre Firefox personnel.

Dans Firefox :

Paramètres → Général → Paramètres réseau
Cochez “Configuration manuelle du proxy”
Proxy HTTP : 127.0.0.1, Port : 8080
Cochez “Utiliser ce proxy pour tous les protocoles”

Astuce pro : l’extension FoxyProxy pour Firefox permet de switcher entre proxy et no-proxy en un clic. Indispensable quand vous alternez entre navigation normale et test Burp.

Installer le certificat SSL de Burp

Sans cette étape, Burp ne peut pas intercepter le trafic HTTPS (et aujourd’hui, 99% des sites sont en HTTPS).

Burp doit être lancé
Dans Firefox configuré avec le proxy Burp, visitez http://burpsuite
Cliquez “CA Certificate” et téléchargez le fichier
Dans Firefox : Paramètres → Vie privée → Certificats → Importer
Cochez “Faire confiance pour identifier des sites web”

Testez en visitant https://google.com — vous devriez voir la requête apparaître dans l’onglet Proxy > HTTP history de Burp.

Les modules essentiels de Burp Suite

1. Proxy — L’intercepteur

C’est le cœur de Burp. Le Proxy capture tout le trafic entre votre navigateur et le serveur.

HTTP History : l’onglet le plus utilisé. Il liste toutes les requêtes et réponses. Vous pouvez :

Filtrer par domaine, code HTTP, contenu
Envoyer une requête vers le Repeater (clic droit → Send to Repeater)
Analyser les paramètres, cookies, headers

Intercept : quand activé, Burp met en pause chaque requête pour vous laisser la modifier avant de l’envoyer. Pratique pour modifier des paramètres précis à la volée.

2. Repeater — Le couteau suisse du testeur

Le Repeater vous permet d’envoyer et de réémettre une requête HTTP autant de fois que vous voulez en la modifiant à chaque fois.

Utilisation typique en bug bounty :

Dans HTTP History, vous repérez une requête intéressante
Clic droit → “Send to Repeater”
Dans le Repeater, vous modifiez un paramètre (ex: l’ID d’un utilisateur)
Vous envoyez et analysez la réponse
Vous itérez

C’est l’outil de choix pour tester les IDOR, les injections, les broken access controls.

Raccourci Repeater : Ctrl+R pour envoyer une requête depuis HTTP History.

3. Intruder — L’automatiseur

L’Intruder automatise l’envoi de nombreuses requêtes en faisant varier des paramètres selon une liste ou un payload.

Les 4 modes d’attaque

Sniper : remplace un seul paramètre à la fois avec une liste de payloads. Idéal pour :

Tester un paramètre unique avec une wordlist
Brute-force d’un champ

Battering Ram : même payload inséré dans tous les paramètres simultanément.

Pitchfork : deux listes de payloads, un paramètre par liste, itérées en parallèle. Parfait pour tester des paires login/password.

Cluster Bomb : toutes les combinaisons possibles entre plusieurs listes. Attention, peut générer des millions de requêtes.

Note : en version Community, l’Intruder est limité à 1 thread (très lent). Pour du fuzzing sérieux, utilisez ffuf à la place.

4. Decoder — L’encodeur/décodeur

Permet d’encoder et décoder rapidement des données :

URL encode/decode
Base64 encode/decode
HTML entities
Hex

Pratique pour décoder des tokens JWT, des paramètres encodés, ou préparer des payloads.

5. Comparer — La comparaison de réponses

Permet de comparer deux requêtes ou réponses pour identifier les différences. Très utile pour détecter des comportements différents selon les paramètres envoyés.

Workflow pratique en bug bounty

Voici comment Burp s’intègre dans un workflow de test typique :

Étape 1 : Reconnaissance passive avec Burp

Activez le proxy et naviguez normalement sur l’application cible
Explorez toutes les fonctionnalités : login, profil, dashboard, API calls
Burp capture tout en arrière-plan dans HTTP History
Après 15-20 minutes de navigation, vous avez une cartographie complète des endpoints

Étape 2 : Analyse de l’HTTP History

Filtrez et analysez les requêtes capturées :

Cherchez les paramètres avec des IDs (potentiels IDOR)
Identifiez les endpoints d’API (/api/, /v1/, /graphql)
Repérez les tokens, cookies, headers d’autorisation
Notez les fonctionnalités sensibles (upload de fichiers, paiements, admin)

Étape 3 : Test avec le Repeater

Pour chaque requête intéressante :

Envoyez vers le Repeater
Modifiez les paramètres suspects
Changez les headers d’autorisation
Testez avec des comptes différents

Étape 4 : Fuzzing avec l’Intruder (ou ffuf)

Pour les endpoints qui semblent filtrer des données ou accepter des inputs :

Utilisez l’Intruder pour injecter des payloads (XSS, SQLi)
Ou exportez la requête et utilisez ffuf pour du fuzzing rapide

Extensions Burp indispensables (BApp Store)

Autorize : teste automatiquement les IDOR en vérifiant si les requêtes authentifiées restent accessibles sans authentification ou avec un autre compte. L’extension n°1 pour les IDOR.

JWT Editor : manipulation et attaque des JSON Web Tokens. Teste les algorithmes none, RS256 → HS256, etc.

Param Miner : découverte automatique de paramètres cachés dans les requêtes HTTP.

Active Scan++ : améliore le scanner de la version Pro avec des vérifications supplémentaires.

Logger++ : log avancé de toutes les requêtes avec filtres puissants.

Astuces et raccourcis Burp à connaître

Action	Raccourci
Envoyer vers Repeater	`Ctrl+R`
Envoyer vers Intruder	`Ctrl+I`
Forward (intercept)	`Ctrl+F`
Drop (intercept)	`Ctrl+D`
Toggle intercept	`Ctrl+T`
New tab Repeater	`Ctrl+T` dans Repeater
Search dans History	`Ctrl+F`

Astuce scope : configurez le scope dans Target → Scope pour que Burp n’intercepte que le domaine cible. Ça évite de polluer l’History avec du trafic inutile.

Astuce projet : utilisez des “Saved projects” pour organiser vos tests par programme. Burp Pro le permet nativement, la version Community nécessite d’exporter/importer manuellement.

Conclusion

Burp Suite est l’outil le plus important dans votre arsenal bug bounty. Maîtriser le Proxy, le Repeater et l’Intruder vous permettra de tester la grande majorité des vulnérabilités web courantes.

La clé : pratiquer sur PortSwigger Web Security Academy. Chaque lab est conçu pour apprendre une technique précise avec Burp. C’est la meilleure façon de monter en compétences rapidement.

Une fois à l’aise avec Burp, vous serez prêt à attaquer vos premiers programmes de bug bounty avec une vraie méthodologie. Et pour aller encore plus loin, notre formation complète couvre chaque technique en détail avec des exercices pratiques sur des cibles réelles.