Burp Suite est la suite d'outils de reference mondiale pour le pentest d'applications web et d'API, developpee depuis 2003 par PortSwigger, l'entreprise britannique fondee par Dafydd Stuttard (alias PortSwigger). Concue autour d'un proxy d'interception place entre le navigateur et le serveur cible, Burp Suite permet de capturer, analyser, modifier et rejouer chaque requete HTTP/HTTPS, transformant n'importe quelle application web en cible auditable. Au-dela du proxy, la suite federe un scanner de vulnerabilites (passif et actif), un outil de fuzzing (Intruder), un rejoueur de requetes (Repeater), un encodeur (Decoder), un analyseur d'aleatoire (Sequencer) et un comparateur (Comparer). Disponible en trois editions — Community gratuite, Professional a 449$/an et Enterprise SaaS pour le scanning CI/CD a grande echelle — Burp Suite s'impose dans 80% des cabinets de pentest mondiaux et derriere la Burp Suite Certified Practitioner (BSCP), une des certifications offensives les plus exigeantes du marche. Cette page entity couvre l'historique, l'architecture, les composants, la comparaison avec OWASP ZAP, Acunetix et Caido, les usages reels en pentest et les limites de l'outil pour vous donner une vision complete et actionnable de Burp Suite en 2026.

L'essentiel a retenir

  • Burp Suite est la suite d'outils de pentest web dominante du marche, developpee par PortSwigger (UK) depuis 2003 par Dafydd Stuttard.
  • Trois editions : Community (gratuite, sans scanner), Professional (449$/an, scanner + extensions), Enterprise (SaaS scanning continu CI/CD, sur devis).
  • Le cœur est un proxy MITM intercepteur HTTPS (avec installation d'un certificat racine), complete par Repeater, Intruder, Scanner, Collaborator, Decoder, Sequencer, Comparer et le BApp Store.
  • Concurrents : OWASP ZAP (gratuit, OSS), Caido (challenger 2023+, Rust), Acunetix/Invicti (DAST commercial), Nuclei (CLI templates).
  • La certification BSCP (Burp Suite Certified Practitioner) et la Web Security Academy gratuite font de PortSwigger le leader de la formation pentest web en 2026.

Definition : qu'est-ce que Burp Suite ?

Burp Suite est une plateforme integree d'outils dedies au test de securite des applications web et des API HTTP. Au sens strict, c'est un logiciel Java lance localement sur le poste du pentester qui agit comme proxy d'interception entre un navigateur (ou un client API) et le serveur cible. Toute requete HTTP/HTTPS transitant par le proxy peut etre inspectee, modifiee a la volee, sauvegardee dans un historique, rejouee, fuzzee ou scannee a la recherche de vulnerabilites.

Burp Suite n'est pas un simple proxy : c'est une suite outillee qui couvre l'integralite de la chaine de pentest web — reconnaissance (crawler, sitemap), fuzzing manuel (Repeater) et automatise (Intruder), scanning passif et actif (Pro), tests out-of-band (Collaborator), encodage/decodage (Decoder), analyse d'entropie de tokens (Sequencer) et extension via le BApp Store et l'API Montoya. Cette polyvalence explique pourquoi Burp est devenu le standard de facto du pentest web depuis le milieu des annees 2010, supplante peu a peu IBM AppScan et HP WebInspect dans l'usage offensif quotidien.

Histoire : de Dafydd Stuttard a PortSwigger Ltd.

L'histoire de Burp Suite commence en 2003 au Royaume-Uni. Dafydd Stuttard, consultant en securite chez @stake puis chez NGS Software, developpe un proxy d'interception personnel pour automatiser ses propres pentests web. Il publie l'outil sous le nom Burp Proxy en freeware, vite suivi de Burp Spider (crawler) et de Burp Intruder. La premiere version commerciale, Burp Suite Professional 1.0, sort en 2008 avec le scanner de vulnerabilites integre.

L'historique de Burp Suite peut etre decoupe en cinq epoques :

  • 2003-2007 : freeware naissant. Burp Proxy seul, distribue gratuitement par Dafydd Stuttard via portswigger.net.
  • 2008-2012 : Burp Suite Pro 1.x. Premiere version payante, scanner integre, vente individuelle 200-300$. Co-auteur du Web Application Hacker's Handbook (Wiley, 2008) avec Marcus Pinto, devenu la bible du pentest web.
  • 2013-2018 : maturite et adoption industrielle. PortSwigger Ltd. structuree comme entreprise. Sortie de Burp Suite Pro 1.7 (2017) avec Collaborator, Mobile Assistant, BApp Store.
  • 2019 : sortie de Burp Suite Enterprise Edition. SaaS et self-hosted pour le DAST continu et l'integration CI/CD.
  • 2020-2026 : domination et ecosysteme. Lancement de la Web Security Academy (2019), de la certification BSCP (2020), refonte UI Burp Suite 2024.x, migration progressive de l'API Extender legacy vers Montoya API.

En 2026, PortSwigger emploie plus de 250 personnes a Knutsford (UK) et son chiffre d'affaires depasse les 100M$ annuels, fonde quasi-exclusivement sur Burp Suite Pro et Enterprise.

Les trois editions : Community, Professional, Enterprise

Burp Suite est commercialise sous trois editions repondant a des besoins distincts. Le choix est crucial : la Community ne dispose pas du scanner ni de la sauvegarde de session, ce qui limite son usage en pentest professionnel.

Burp Suite Community Edition (gratuite)

Version freeware destinee aux etudiants, hobbyistes et CTF. Elle inclut Proxy, Repeater, Intruder (mais avec throttling artificiel de 1 req/s), Decoder, Sequencer, Comparer. Pas de scanner, pas de Collaborator (sauf domaine partage limite), pas de sauvegarde de projet, pas de BApp Store. Ideale pour apprendre et pour les exercices Web Security Academy.

Burp Suite Professional (449$/an/utilisateur)

L'edition standard du pentester. Tarif 449$/an par utilisateur (renouvellement). Inclut tout le Community plus :

  • Scanner : audit passif et actif, detection automatisee des vulnerabilites OWASP Top 10.
  • Intruder sans throttling, avec tous les modes (Sniper, Battering Ram, Pitchfork, Cluster Bomb).
  • Collaborator personnel ou domaine prive pour les tests out-of-band.
  • BApp Store : acces a 250+ extensions communautaires.
  • Sauvegarde de projets .burp, mode headless CLI.
  • Mises a jour hebdomadaires (Early Adopter Channel) ou trimestrielles (Stable).

Burp Suite Enterprise Edition (sur devis)

Solution SaaS ou self-hosted Kubernetes pour le scanning DAST a l'echelle. Cible : grandes entreprises, SOC, equipes AppSec. Tarification annuelle basee sur le nombre de sites et de scans paralleles, indicativement de 20K$ a 200K$/an. Inclut :

  • Orchestrateur de scans paralleles (jusqu'a des centaines de cibles simultanees).
  • Integration CI/CD : GitHub Actions, GitLab CI, Jenkins, Azure DevOps.
  • Dashboard executif, reporting OWASP / PCI DSS / ASVS.
  • Ouverture automatique de tickets Jira, ServiceNow, Linear.
  • API REST pour pilotage programmatique des scans.

Architecture et composants : la stack Burp Suite

Burp Suite est une application Java (JDK 21+ recommande en 2026), deployee sous forme d'archive JAR auto-executable. L'interface graphique est en Swing avec une refonte progressive vers JavaFX. La memoire heap par defaut est de 1Go et doit etre augmentee a 4-8Go via -Xmx pour les pentests volumineux.

Les composants majeurs sont organises en onglets (tabs) dans l'UI :

  • Proxy : intercepteur HTTP/HTTPS, point central de la suite.
  • Target : sitemap arborescent, scope de cible.
  • Repeater : rejeu manuel de requetes.
  • Intruder : fuzzing automatise.
  • Scanner (Pro) : audit automatique passif et actif.
  • Collaborator (Pro) : payload server pour out-of-band testing.
  • Decoder : encode/decode URL, base64, HTML, hex, ASCII, gzip.
  • Sequencer : analyse d'entropie de tokens (sessions, CSRF, password reset).
  • Comparer : diff de deux requetes ou reponses.
  • Extender / BApp Store : gestion des extensions.
  • Logger (2024+) : historique unifie des requetes (remplace partiellement Logger++).

Burp Proxy : interception HTTPS, MITM et certificats

Le Proxy est le cœur de Burp Suite. Il ecoute par defaut sur 127.0.0.1:8080 et agit comme un MITM transparent entre le navigateur et le serveur. Pour intercepter le HTTPS, Burp genere une autorite de certification racine PortSwigger CA a son premier lancement et signe a la volee des certificats correspondants au domaine cible. L'installation manuelle de PortSwigger CA dans le navigateur (ou l'OS) est obligatoire pour eviter les erreurs NET::ERR_CERT_AUTHORITY_INVALID.

Concretement, le workflow est :

  1. Configurer le navigateur (ou l'app mobile) pour utiliser 127.0.0.1:8080 comme proxy HTTP/HTTPS.
  2. Telecharger le certificat cacert.der depuis http://burp et l'importer en autorite de confiance.
  3. Definir le Target Scope : domaines in-scope/out-of-scope pour eviter de proxy le trafic Google, telemetrie OS, etc.
  4. Activer/desactiver l'interception via le toggle (par defaut OFF dans Burp 2024+).
  5. Modifier les requetes a la volee : changer un parametre, ajouter un header Authorization, alterer un JSON body.

Burp 2023+ integre un Embedded Browser Chromium pre-configure (Chrome avec Burp CA pre-installe) qui evite la configuration manuelle. Indispensable pour les tests OAuth 2.1 et SSO ou les redirections multi-domaine sont nombreuses.

Burp Repeater : rejeu manuel et fuzzing reflexif

Le Repeater est l'outil le plus utilise au quotidien par les pentesters. Il permet d'envoyer manuellement une requete HTTP modifiee et d'inspecter immediatement la reponse, sans repasser par le navigateur. Cas d'usage typiques :

  • Tester une injection SQL en modifiant un parametre ?id=1' OR 1=1--.
  • Tester un SSRF en remplacant une URL par http://169.254.169.254/latest/meta-data/ (cf. SSRF moderne IMDSv2 Gopher).
  • Tester une race condition en envoyant 30 fois la meme requete via Send group in parallel (last byte sync) (cf. race condition).
  • Modifier un JWT pour tester algorithm confusion ou none algorithm.
  • Forger une requete XML contenant une entite externe pour tester XXE.

Burp Repeater 2024+ integre des tabs nommables, du color coding et la fonction Send group in parallel qui revolutionne les tests de race conditions en exploitant le HTTP/2 multiplexing.

Burp Intruder : attaques automatisees et payloads

Intruder est l'outil de fuzzing automatise de Burp Suite. Il prend une requete template, marque des positions payload (avec le caractere § §) et les remplit selon une strategie. Quatre modes d'attaque existent :

  • Sniper : un seul payload set, applique sequentiellement a chaque position. Mode par defaut, ideal pour fuzzer un parametre a la fois.
  • Battering Ram : un seul payload set, mais le meme payload applique simultanement a toutes les positions. Utile pour bruteforcer un username + password identiques.
  • Pitchfork : un payload set par position, traversee parallele. Ideal pour le credential stuffing avec liste user:pass synchronisees.
  • Cluster Bomb : un payload set par position, produit cartesien de toutes les combinaisons. Brute force complet, utilise pour login brute force user x pass.

Les payload types incluent : Simple list, Runtime file, Numbers, Dates, Brute forcer, Character substitution, Case modification, Recursive grep, Illegal Unicode, Bit flipper. Le Grep — Match, Grep — Extract et Grep — Payloads permettent d'identifier les reponses interessantes (succes vs echec) sur des centaines de milliers de requetes.

En version Community, Intruder est artificiellement ralenti a 1 requete/seconde apres quelques secondes. La version Pro permet plusieurs centaines de requetes/seconde, avec Resource Pool configurable pour adapter le rate-limit a la cible.

Burp Scanner : DAST passif et actif (Pro only)

Le Scanner de Burp Suite Professional est un moteur DAST (Dynamic Application Security Testing) automatise. Il opere en deux modes complementaires :

  • Passive scanning : analyse en temps reel des requetes/reponses passant par le proxy, sans envoyer de payload. Detecte les headers de securite manquants (CSP, HSTS, X-Frame-Options), les cookies sans Secure/HttpOnly, les versions de framework exposees, les commentaires HTML divulgants.
  • Active scanning : envoie activement des payloads pour confirmer les vulnerabilites. Couvre XSS reflechi/stocke/DOM, SQL injection (boolean, time-based, error-based), SSRF, SSTI, XXE, XML injection, OS command injection, file inclusion, open redirect, HTTP request smuggling, Web Cache Deception.

Le scanner couvre la majorite de l'OWASP Top 10 2025 et les vulnerabilites typiques d'API (cf. API Security : fuzzing Burp + Nuclei). Il integre depuis 2023 une detection des deserialisations Java/PHP, des prototypes pollutions JS, des attaques GraphQL et des chemins ADCS-like sur applications cloud. Le scanner est piloté par les BChecks, un langage de description de checks personnalises introduit en 2023 (alternative low-code aux extensions Java).

BApp Store : extensions communautaires incontournables

Le BApp Store est le marketplace officiel d'extensions Burp Suite, accessible depuis l'onglet Extensions. Plus de 250 extensions sont disponibles, ecrites en Java (API Montoya recommandee), Python (Jython 2.7) ou Ruby (JRuby). Les incontournables en 2026 :

  • Logger++ : historique unifie cross-tool (Proxy, Repeater, Intruder, Scanner) avec filtres avances et export. Note : Burp 2024 integre desormais un onglet Logger natif qui couvre 80% des cas.
  • Autorize : detection automatique d'IDOR et de defauts de controle d'acces en envoyant chaque requete avec une session secondaire (low-privilege).
  • JS Miner : scan des fichiers JavaScript pour extraire endpoints, secrets, API keys (similaire a SecretFinder).
  • ParamMiner (PortSwigger Research) : decouverte de parametres caches (HTTP headers, query params) par fuzzing wordlist.
  • Turbo Intruder (PortSwigger Research) : engine Python ultra-rapide capable de 30 000 req/s, indispensable pour les race conditions et le fuzzing API.
  • Hackvertor : tags de transformation (encodage, hashing, XOR) inseres dynamiquement dans les requetes.
  • Active Scan++ : extension du scanner avec checks supplementaires (OS command injection avancees, host header injection).
  • JWT Editor : edition et signature de JSON Web Tokens, support de l'algorithm confusion attack.
  • InQL Scanner : introspection et fuzzing GraphQL.
  • Backslash Powered Scanner : detection de vulnerabilites par fuzzing exotique base sur la recherche de PortSwigger.

Burp Collaborator : tests out-of-band (OAST)

Burp Collaborator est un service externe heberge par PortSwigger (ou self-hosted en Pro/Enterprise) qui fournit un domaine unique par utilisateur (par exemple abc123.oastify.com). Lorsqu'un payload contient ce domaine, toute interaction DNS, HTTP ou SMTP recue est tracee et associee au pentester. Ce mecanisme est essentiel pour detecter les vulnerabilites aveugles (blind), ou la cible n'echo pas la reponse :

  • Blind SSRF : exfiltration via DNS lookup vers Collaborator depuis le serveur cible.
  • Blind XXE : entite externe pointant vers Collaborator via HTTP ou FTP (cf. XXE).
  • Blind XSS : payload injecte dans un champ admin, declenchant un beacon Collaborator au moment ou un administrateur le visualise.
  • Blind OS command injection : $(curl x.oastify.com) declenche un DNS lookup mesurable.
  • Blind SQL injection via UNC path Windows ou xp_dirtree SQL Server.

L'interface Collaborator client dans Burp Pro affiche en temps reel toutes les interactions, avec source IP, timestamp et protocole. Une option permet de generer un Collaborator privé (server self-hosted) pour les missions red team ou la confidentialite est critique.

Burp Suite Enterprise : DAST CI/CD a l'echelle

Burp Suite Enterprise Edition (BSE) est l'offre destinee aux equipes AppSec et SOC qui souhaitent industrialiser le DAST sur des centaines d'applications. Architecture distribuee avec :

  • Enterprise Server : orchestrateur central (Java + PostgreSQL).
  • Scanning machines : agents Linux (VM ou conteneur Kubernetes) executant les scans Burp en parallele.
  • Web Dashboard : UI React pour piloter les sites, planifier les scans, suivre les vulnerabilites.
  • API REST documentee OpenAPI pour automatiser scans, integrations CI/CD et exports SARIF.

BSE expose des plugins natifs pour Jenkins, GitHub Actions, GitLab CI, Azure DevOps, TeamCity et Bamboo. Le scanning peut etre shifted-left dans la pipeline CI/CD, bloquant les builds en cas de decouverte critique. Les integrations ITSM (Jira, ServiceNow, Linear) creent automatiquement des tickets au format remediation, avec preuve d'exploitation et CVSS score. Cette approche complete les audits manuels du pentest infrastructure par un scanning DAST continu.

Comparatif : Burp vs OWASP ZAP vs Acunetix vs Caido

Burp Suite n'est pas seul sur le marche. Le tableau ci-dessous synthetise les forces et faiblesses des principaux concurrents en 2026 (cf. notre comparatif Burp Suite vs OWASP ZAP detaille).

CritereBurp Suite ProOWASP ZAPAcunetix / InvictiCaido
EditeurPortSwigger (UK)OWASP / CheckmarxInvicti SecurityCaido (CA, FR/CA)
LicenceProprietaire payanteApache 2.0 (OSS)Proprietaire SaaSFreemium / Pro
Prix449$/anGratuit5K-50K$/anFree / 30$/mois Pro
LangageJavaJavaC# .NETRust
UISwing (lourde)Swing (moyenne)Web SaaSWeb Tauri (moderne)
Scanner DASTExcellentBonExcellent (Acunetix)Limite
ExtensionsBApp Store 250+ZAP MarketplaceLimiteesWorkflows Caido
Out-of-bandCollaboratorOAST add-onAcuMonitorCaido Hosted
CI/CDEnterpriseNative (CLI/API)NativeAPI en cours
PerformanceMoyenne (JVM)Moyenne (JVM)BonneExcellente (Rust)
CommunauteTres largeTres large OSSEntrepriseCroissante

Conclusion comparative : Burp reste le standard pour le pentest manuel et la profondeur de l'ecosysteme (BSCP, Web Security Academy, BApp Store). ZAP convient aux missions OSS-only et a la CI/CD gratuite. Acunetix domine le DAST black-box automatise pour les RSSI. Caido est le challenger 2026 a surveiller pour son UI moderne et ses performances Rust.

Use cases : OWASP Top 10, API, mobile, IoT

Burp Suite est polyvalent et adresse l'integralite des cibles HTTP modernes. Voici les cas d'usage majeurs.

Pentest applications web (OWASP Top 10)

Cible historique. Burp couvre les 10 categories de l'OWASP Top 10 2025 : Broken Access Control, Cryptographic Failures, Injection, Insecure Design, Security Misconfiguration, Vulnerable and Outdated Components, Identification and Authentication Failures, Software and Data Integrity Failures, Security Logging and Monitoring Failures, Server-Side Request Forgery (SSRF).

Pentest API REST et GraphQL

Burp s'integre nativement avec OpenAPI (Swagger) via OpenAPI Parser et avec GraphQL via InQL. Le scanner detecte les violations de l'OWASP API Security Top 10 (BOLA, BFLA, Excessive Data Exposure, Mass Assignment).

Mobile MITM (iOS, Android)

Burp Suite est utilise pour intercepter le trafic d'applications mobiles via configuration proxy WiFi sur le device + installation du certificat PortSwigger CA. Pour contourner le certificate pinning, on combine Burp avec Frida, Objection ou SSL Kill Switch 3.

Pentest IoT et thick clients

Burp peut intercepter le trafic d'appareils IoT (cameras, NAS, routeurs) via configuration proxy reseau ou DNS hijack. Pour les clients lourds Windows .NET, on utilise Echo Mirage, Proxifier ou les Invisible Proxy listeners de Burp.

Formation et certifications : BSCP et Web Security Academy

PortSwigger a investi massivement dans la formation depuis 2019, ce qui a contribue a son hegemonie. Deux ressources sont incontournables :

Web Security Academy (gratuit)

La Web Security Academy est une plateforme gratuite avec plus de 200 labs interactifs couvrant SSRF, XSS, SQL injection, CSRF, XXE, prototype pollution, HTTP request smuggling, OAuth, JWT, GraphQL, WebSocket, Web Cache Poisoning, CORS, Web Cache Deception. Chaque lab est associe a un texte explicatif de qualite professorale et a une Mystery Lab pour mise en pratique.

Burp Suite Certified Practitioner (BSCP)

La certification BSCP, lancee en 2020, est devenue une reference du pentest web aux cotes d'OSWE et d'eWPTX. Format : 4 heures en self-proctored (sans surveillance), deux applications a compromettre avec recuperation d'un secret flag. Tarif 99$, taux de reussite estime a 25-40%. Les pre-requis recommandes : 80%+ des labs Web Security Academy completes, maitrise de Burp Pro et lecture du Web Application Hacker's Handbook.

D'autres formations existent : SANS SEC542 (Web App Pentest), OSWA (Offensive Security Web Assessor) et le OSWE (Offensive Security Web Expert) qui restent des references complementaires.

Limites de Burp Suite

Malgre sa domination, Burp Suite presente plusieurs limites qu'il faut connaitre.

  • Lourdeur JVM : Burp consomme 2-8Go de RAM en pentest reel et chauffe le CPU sur les sites lourds. L'UI Swing reste datee comparee aux interfaces web modernes (Caido, ZAP HUD).
  • Scanner Pro requis : la version Community est brideee volontairement (Intruder a 1 req/s, pas de scanner). Pour un usage serieux, l'investissement Pro a 449$/an est obligatoire.
  • Courbe d'apprentissage : les modes Intruder (Sniper, Pitchfork, Cluster Bomb), les Match/Replace rules, l'API Montoya, les expressions Hackvertor representent un savoir-faire qui se construit sur plusieurs mois.
  • HTTP/3 et QUIC : support partiel en 2026, certains pentests cloud-natifs sur Cloudflare/Fastly sont incomplets.
  • Pas natif WebSocket bidirectionnel temps-reel au niveau Repeater (extensions necessaires).
  • Source ferme : impossible d'auditer le code source ou de patcher des bugs urgents soi-meme (contrairement a OWASP ZAP).
  • Verrouillage de licence : la cle Pro est liee a un compte PortSwigger, l'utilisation hors-ligne est limitee.

Aspects legaux : pentest autorise uniquement

Burp Suite est un outil dual-use : licite pour les missions de pentest autorisees, illegal en cas d'utilisation contre une cible non consentante. En France, l'article 323-1 du Code penal punit l'acces frauduleux a un STAD (Systeme de Traitement Automatise de Donnees) de 3 ans d'emprisonnement et 100 000 euros d'amende, porte a 5 ans et 150 000 euros en cas de modification ou suppression de donnees. La directive NIS2 et le Cyber Resilience Act n'autorisent pas davantage l'usage offensif sans mandat.

Les conditions de licite sont strictes :

  • Mandat ecrit du commanditaire (statement of work, regles d'engagement, perimetre).
  • Bug bounty : programme public ou prive (HackerOne, YesWeHack, Intigriti, Bugcrowd) avec scope et reward defini.
  • CTF et labs : Web Security Academy, HackTheBox, TryHackMe, OWASP Juice Shop.
  • Responsible disclosure : decouverte fortuite, signalement encadre par CNIL et ANSSI.

Tester avec Burp un site sans autorisation, meme pour « demonstration », expose a des poursuites. Les juristes recommandent de conserver les emails de mandat et les logs Burp pendant 3 ans apres la mission.

FAQ : questions frequentes sur Burp Suite

La version Burp Community est-elle suffisante pour debuter ?

Oui pour apprendre et completer la Web Security Academy : Proxy, Repeater, Decoder et Sequencer y sont fonctionnels. Non pour un pentest professionnel : l'Intruder est ralenti a 1 req/s (inutilisable au-dela de 100 payloads), le Scanner et le Collaborator sont absents, la sauvegarde de session est desactivee, le BApp Store est inaccessible. Investir 449$/an dans Burp Pro est generalement amorti des le premier client.

Comment Burp Suite se compare-t-il a OWASP ZAP ?

Burp Pro l'emporte sur la profondeur du scanner, la qualite des extensions BApp et l'ecosysteme PortSwigger Research (Turbo Intruder, ParamMiner). ZAP l'emporte sur la gratuite, la transparence open source et l'integration native CI/CD. En pratique, les pentesters professionnels utilisent Burp Pro pour le manuel ; ZAP est privilegie en pipeline DevSecOps gratuite et missions sous contrainte budgetaire stricte.

Burp Suite gere-t-il les flux OAuth 2.0 / OpenID Connect ?

Oui, Burp gere nativement les flux OAuth 2.0/2.1 et OIDC via son embedded browser Chromium, qui suit toutes les redirections cross-domain et conserve les cookies. Pour tester JWT, l'extension JWT Editor permet la signature, l'algorithm confusion (RS256 -> HS256) et l'attaque none algorithm. Pour PKCE et state-mismatch, on utilise Repeater avec replay manuel des authorization codes.

Peut-on utiliser Burp pour le mobile testing iOS/Android ?

Oui. La methodologie standard est : (1) configurer le device sur le meme WiFi que le poste pentester, (2) definir le proxy WiFi vers IP-pentester:8080, (3) installer le certificat PortSwigger CA en autorite de confiance (parametres Android > Securite ; iOS > Profils + activation manuelle dans Reglages > General > A propos > Confiance certificats). Pour contourner le SSL pinning on combine Burp avec Frida + objection ou Magisk + LSPosed sur Android root, Trollstore ou jailbreak iOS avec SSL Kill Switch 3.

Faut-il passer la certification BSCP ?

Le BSCP est une excellente certification pour valider la maitrise de Burp Pro et des vulnerabilites web modernes. Tarif (99$) tres accessible vs OSWE (~1500$). Format self-proctored 4h, deux applications a compromettre. Valeur sur le marche : reconnue par les cabinets pentest et bug bounty hunters, en croissance rapide depuis 2022. Pre-requis recommande : 80% des labs Web Security Academy completes. Si vous visez OSWE, BSCP est un excellent palier intermediaire.

Burp Suite Enterprise remplace-t-il un pentester humain ?

Non. BSE automatise le DAST black-box et le scanning continu, ce qui leve la majorite des vulnerabilites mecaniques (XSS reflechi, SQL injection lineaire, headers manquants). Les vulnerabilites logiques (IDOR, broken access control, race conditions metier, business logic flaws) restent l'apanage du pentester humain pilotant Burp Pro. La complementarite est : BSE en continuous scanning dans la pipeline + audits humains annuels ou trimestriels.

Liens internes et ressources complementaires

Liens externes officiels