Login avec Burp

Login Testing avec Burp Suite - Cheatsheet

Pour en apprendre un peu plus sur Burp

  1. Configuration de l'Environnement :

    • Assurez-vous que Burp Suite est configuré comme proxy entre le navigateur et le serveur cible.

  2. Identifier les Pages de Connexion :

    • Parcourez l'application web pour trouver les pages de connexion (p.ex., login.php, signin.php).

  3. Enregistrement d'une Séquence de Connexion :

    • Dans Burp Suite, activez l'interception et accédez à la page de connexion dans le navigateur.

    • Saisissez des informations de connexion valides et cliquez sur "Se connecter".

    • Burp interceptera la requête POST de connexion.

    • Cliquez avec le bouton droit de la souris et sélectionnez "Send to Repeater" pour enregistrer la séquence.

  4. Attaque par Brute-Force :

    • Dans l'onglet Repeater, modifiez les champs d'identification (nom d'utilisateur et mot de passe) avec les payloads appropriés.

    • Utilisez l'outil Intruder pour automatiser l'attaque par brute-force avec des wordlists pour les noms d'utilisateur et les mots de passe.

  5. Attaque par Injection :

    • Testez les champs d'entrée de la page de connexion pour les vulnérabilités d'injection SQL ou d'injection XSS.

    • Utilisez l'outil Intruder pour injecter des payloads malveillants dans les champs d'identification.

  6. Attaque par Fuzzing :

    • Faites du fuzzing sur les champs d'entrée (nom d'utilisateur, mot de passe) avec des valeurs aléatoires pour détecter des vulnérabilités.

  7. Identification des Messages d'Erreur :

    • Analysez les réponses du serveur pour identifier les messages d'erreur qui pourraient aider à déterminer des informations sur le système.

  8. Capture et Analyse de Requêtes :

    • Utilisez l'onglet Proxy de Burp Suite pour capturer et analyser les requêtes POST et les réponses du serveur.

    • Modifiez les paramètres de la requête pour tester différents scénarios d'attaque.

  9. Automatisation des Tests :

    • Créez des macros pour automatiser les tests de connexion et les séquences d'attaque complexes.

  10. Utilisation de Cookies et de Sessions :

  • Manipulez les cookies et les sessions pour tester la gestion des sessions et la protection contre les attaques CSRF (Cross-Site Request Forgery).

PreviousHTTP login avec HydraNextOutils

Last updated