BurpSuite:Proxy

From aldeid
Jump to: navigation, search

Proxy

Intercept

Cette fonctionnalité permet d'intercepter toutes les requêtes HTTP et HTTPS traversant le proxy et de les modifier, le cas échéant, à la volée. Pour activer cette fonction, il suffit d'appuyer sur le bouton "intercept is off". Pour stopper une capture, cliquer sur "intercept is on".

Ygn ethical hacker group burpsuite proxy intercept 1.png

Le bouton "forward" permet d'accepter les éventuelles modifications alors que le bouton "Drop" permet de les annuler.

Le bouton "actions" offre les mêmes fonctionnalités que dans le menu contextuel de l'onglet "Target".

Options

Ygn ethical hacker group burpsuite proxy options 1.png

Cet onglet permet de paramétrer le proxy Burp Suite :

  • Proxy listeners
    • Les boutons "edit", "remove" et "add" permettent de gérer la configuration du ou des proxy(ies). En effet, il est possible de créer plusieurs "listeners", c'est à dire plusieurs instances de proxies, de modifier le port d'écoute par défaut (8080), etc.
    • Listen on loopback interface only : si cette case est décochée, les autres ordinateurs du réseau pourront utiliser le proxy
    • support invisible proxying for non-proxy-aware clients : cette case doit normalement être décochée. Vous pouvez avoir besoin d'utiliser cette fonctionnalité dans des cas particuliers (par exemple si l'application visée emploie un composant client qui est exécuté en dehors du navigateur).
    • use a custom server SSL certificate (PKCS12) : vous pouvez avoir besoin de générer votre propre certificat si l'application visée n'accepte pas celui du proxy par défaut.
  • intercept client requests : cette section vous permet de spécifier un ensemble de règles de gestion qui s'appliqueront pour le filtrage des interceptions des requêtes émises par le client
  • intercept server responses : cette section vous permet de spécifier un ensemble de règles de gestion qui s'appliqueront pour le filtrage des interceptions des requêtes reçues du serveur
  • HTML modification :
    • unhide hidden form fields : affiche les champs cachés (champs de type "hidden") en réception d'une réponse serveur
    • enable disabled form fileds : transforme les champs non saisissables (champs à la propriété "disabled" activée) en champs saisissables (suppression de la propriété "disabled")
    • remove input field length limits : suppression de la propriété "maxlength" des champs de formulaire
    • remove JavaScript form validation : suppression des contrôles formulaire au moment de leur soumission
    • remove all JavaScript : suppression de tous les contenus entre balises <script> et </script>
    • remove <object> tags : suppression de tous les contenus entre balises <object> et </object>
  • match and replace : ensemble de règles de gestion de transformation du contenu en provenance des réponses serveur
  • misc :
    • talk HTTP/1.0 to server : convertit les messages à destination du serveur dans le protocole HTTP/1.0
    • unpack gzip/deflate : certains navigateurs acceptent les formulaires au format compressé. Cette option permet de spécifier si le contenu doit être compressé ou non.

History

Ygn ethical hacker group burpsuite proxy history 1.png

Cet onglet permet de consulter l'historique des pages ayant traversé le proxy. Il est possible de consulter le détail de chaque requête, puis de les envoyer vers un autre onglet (Sequencer, Repeater, etc.).

La table affiche les colonnes suivantes :

En-tête Description
# Identifiant de la requête
host URL absolue de la cible
method Méthode HTTP : POST ou GET
URL URL (arborescence de répertoires)
params Eventuels paramètres
mod Indique si la requête a été modifiée après interception
status Code du statut de la réponse
length Taille de la réponse (en bytes)
MIME type Type MIME de la réponse
extension Type de fichier de la resource
title Titre de la page HTML
SSL Indique si SSL est utilisé
IP Adresse IP de l'hôte cible
cookies Liste des cookies créés par le serveur
time Temps de la requête


Info.png
Note
Chaque colonne est triable par clic sur l'en-tête. Pour inverser l'odre de tri, maintenez la touche "SHIFT" enfoncée puis cliquez sur l'en-tête de colonne. Par ailleurs, il est également possible d'appliquer des filtres en cliquant sur "Filter" en haut du tableau.