Login avec Burp

PreviousHTTP login avec Hydra NextOutils

Last updated 1 year ago

Login avec Burp

Pour en apprendre un peu plus sur

Configuration de l'Environnement :
- Assurez-vous que Burp Suite est configuré comme proxy entre le navigateur et le serveur cible.
Identifier les Pages de Connexion :
- Parcourez l'application web pour trouver les pages de connexion (p.ex., login.php, signin.php).
Enregistrement d'une Séquence de Connexion :
- Dans Burp Suite, activez l'interception et accédez à la page de connexion dans le navigateur.
- Saisissez des informations de connexion valides et cliquez sur "Se connecter".
- Burp interceptera la requête POST de connexion.
- Cliquez avec le bouton droit de la souris et sélectionnez "Send to Repeater" pour enregistrer la séquence.
Attaque par Brute-Force :
- Dans l'onglet Repeater, modifiez les champs d'identification (nom d'utilisateur et mot de passe) avec les payloads appropriés.
- Utilisez l'outil Intruder pour automatiser l'attaque par brute-force avec des wordlists pour les noms d'utilisateur et les mots de passe.
Attaque par Injection :
- Testez les champs d'entrée de la page de connexion pour les vulnérabilités d'injection SQL ou d'injection XSS.
- Utilisez l'outil Intruder pour injecter des payloads malveillants dans les champs d'identification.
Attaque par Fuzzing :
- Faites du fuzzing sur les champs d'entrée (nom d'utilisateur, mot de passe) avec des valeurs aléatoires pour détecter des vulnérabilités.
Identification des Messages d'Erreur :
- Analysez les réponses du serveur pour identifier les messages d'erreur qui pourraient aider à déterminer des informations sur le système.
Capture et Analyse de Requêtes :
- Utilisez l'onglet Proxy de Burp Suite pour capturer et analyser les requêtes POST et les réponses du serveur.
- Modifiez les paramètres de la requête pour tester différents scénarios d'attaque.
Automatisation des Tests :
- Créez des macros pour automatiser les tests de connexion et les séquences d'attaque complexes.
Utilisation de Cookies et de Sessions :

Manipulez les cookies et les sessions pour tester la gestion des sessions et la protection contre les attaques CSRF (Cross-Site Request Forgery).

PreviousHTTP login avec Hydra NextOutils

Last updated 1 year ago

Pour en apprendre un peu plus sur

Configuration de l'Environnement :
- Assurez-vous que Burp Suite est configuré comme proxy entre le navigateur et le serveur cible.
Identifier les Pages de Connexion :
- Parcourez l'application web pour trouver les pages de connexion (p.ex., login.php, signin.php).
Enregistrement d'une Séquence de Connexion :
- Dans Burp Suite, activez l'interception et accédez à la page de connexion dans le navigateur.
- Saisissez des informations de connexion valides et cliquez sur "Se connecter".
- Burp interceptera la requête POST de connexion.
- Cliquez avec le bouton droit de la souris et sélectionnez "Send to Repeater" pour enregistrer la séquence.
Attaque par Brute-Force :
- Dans l'onglet Repeater, modifiez les champs d'identification (nom d'utilisateur et mot de passe) avec les payloads appropriés.
- Utilisez l'outil Intruder pour automatiser l'attaque par brute-force avec des wordlists pour les noms d'utilisateur et les mots de passe.
Attaque par Injection :
- Testez les champs d'entrée de la page de connexion pour les vulnérabilités d'injection SQL ou d'injection XSS.
- Utilisez l'outil Intruder pour injecter des payloads malveillants dans les champs d'identification.
Attaque par Fuzzing :
- Faites du fuzzing sur les champs d'entrée (nom d'utilisateur, mot de passe) avec des valeurs aléatoires pour détecter des vulnérabilités.
Identification des Messages d'Erreur :
- Analysez les réponses du serveur pour identifier les messages d'erreur qui pourraient aider à déterminer des informations sur le système.
Capture et Analyse de Requêtes :
- Utilisez l'onglet Proxy de Burp Suite pour capturer et analyser les requêtes POST et les réponses du serveur.
- Modifiez les paramètres de la requête pour tester différents scénarios d'attaque.
Automatisation des Tests :
- Créez des macros pour automatiser les tests de connexion et les séquences d'attaque complexes.
Utilisation de Cookies et de Sessions :

Manipulez les cookies et les sessions pour tester la gestion des sessions et la protection contre les attaques CSRF (Cross-Site Request Forgery).