Compétences burp-suite-testing
🛡️

burp-suite-testing

Risque faible ⚙️ Commandes externes🌐 Accès réseau📁 Accès au système de fichiers

Tester les applications web avec Burp Suite

Burp Suite est un outil puissant de test de sécurité des applications web, mais ses fonctionnalités complètes peuvent être écrasantes. Cette compétence offre un flux de travail structuré pour intercepter le trafic HTTP, identifier les vulnérabilités et mener des évaluations de sécurité professionnelles.

Prend en charge: Claude Codex Code(CC)
⚠️ 64 Médiocre
1

Télécharger le ZIP du skill

2

Importer dans Claude

Allez dans Paramètres → Capacités → Skills → Importer un skill

3

Activez et commencez à utiliser

Tester

Utilisation de "burp-suite-testing". How do I modify request parameters in Burp Suite?

Résultat attendu:

Pour modifier les paramètres de requête : 1) Activez l'interception dans Proxy > Intercept > Intercept is on, 2) Déclenchez la requête dans votre navigateur, 3) Modifiez directement les paramètres dans la requête interceptée, 4) Cliquez sur Forward pour envoyer la requête modifiée. Pour des tests répétés, faites un clic droit sur n'importe quelle requête dans HTTP history et sélectionnez Send to Repeater pour une modification et un renvoi facilités.

Utilisation de "burp-suite-testing". What are common SQL injection test payloads?

Résultat attendu:

Les payloads d'injection SQL courants incluent : ' OR '1'='1 (contournement d'authentification de base), ' OR '1'='1'-- (contournement basé sur les commentaires), 1 UNION SELECT NULL-- (injection basée sur l'union), OR 1=1-- (injection de paramètre numérique). Testez toujours avec les paramètres GET et POST, et surveillez les messages d'erreur, les temps de réponse différents ou la divulgation de données.

Audit de sécurité

Risque faible
v1 • 2/25/2026

This is a legitimate Burp Suite documentation skill for authorized web application security testing. Static findings (external_commands, filesystem, network) are FALSE POSITIVES - they represent example payloads shown in a reference section for educational purposes, not actual executable code. The skill contains proper operational boundaries and best practices. Risk level set to low due to educational nature of payload examples.

1
Fichiers analysés
386
Lignes analysées
7
résultats
1
Total des audits

Problèmes critiques (2)

SKILL.md:273-294
Example Payloads in Documentation
Static scanner detected command patterns (e.g., 'cat /etc/passwd', 'whoami') and path traversal examples (e.g., '../../../etc/passwd'). These are FALSE POSITIVES - example payloads shown in the 'Common Testing Payloads' reference section (SKILL.md:273-294) for educational purposes. They are markdown text examples, not executable code.
Misidentified Weak Cryptographic Algorithm
Static scanner flagged 'weak cryptographic algorithm' at multiple lines (3, 198, 218, 234, 385), but no cryptographic code exists in this skill. This is a FALSE POSITIVE likely caused by the scanner misinterpreting documentation text.
Problèmes à risque moyen (1)
SKILL.md:27SKILL.md:362SKILL.md:368
Legitimate Local Proxy Configuration
Network references to 127.0.0.1:8080 and http://burp are legitimate local proxy configurations for Burp Suite, not external network connections.
Problèmes à risque faible (1)
SKILL.md:1-386
Educational Security Testing Content
The skill provides comprehensive guidance on web application security testing using Burp Suite. All 'dangerous' patterns detected are example payloads in a reference section, which is standard practice for security training materials.

Facteurs de risque

⚙️ Commandes externes (1)
SKILL.md:63-353
🌐 Accès réseau (3)
SKILL.md:27 SKILL.md:362 SKILL.md:368
📁 Accès au système de fichiers (1)
SKILL.md:287-288

Motifs détectés

Example Penetration Testing Payloads
Audité par: claude

Score de qualité

38
Architecture
100
Maintenabilité
87
Contenu
50
Communauté
43
Sécurité
91
Conformité aux spécifications

Ce que vous pouvez construire

Évaluation de sécurité pour une nouvelle application web

Effectuer des tests de sécurité complets sur une application web nouvellement développée avant le déploiement en production pour identifier et corriger les vulnérabilités.

Validation de la sécurité des API

Tester les API REST pour les vulnérabilités d'injection, les contournements d'authentification et les contrôles d'accès incorrects à l'aide de techniques de modification de requêtes.

Recherche et apprentissage sur les vulnérabilités

Apprendre les techniques de test de sécurité des applications web en pratiquant avec des vulnérabilités d'exemple dans des environnements de laboratoire contrôlés.

Essayez ces prompts

Interception HTTP de base 
Comment intercepter les requêtes HTTP avec Burp Suite ? Parcourez la configuration du proxy et la capture du trafic depuis un navigateur web.
Test d'injection SQL 
Montrez-moi comment utiliser Burp Repeater pour tester un formulaire de connexion pour les vulnérabilités d'injection SQL. Incluez des exemples de payloads et comment interpréter les réponses.
Test de la logique métier 
Démontrez comment tester les vulnérabilités de logique métier dans une application e-commerce avec Burp Suite. Comment identifier et exploiter les problèmes de manipulation de prix ?
Scan automatisé de vulnérabilités 
Guidez-moi à travers l'exécution d'un scan de vulnérabilité automatisé avec Burp Suite Professional. Comment configurer les paramètres du scan, surveiller la progression et examiner les résultats ?

Bonnes pratiques

  • Définissez et configurez toujours la portée cible avant de commencer des tests approfondis pour éviter de tester accidentellement des applications non autorisées
  • Utilisez le navigateur intégré de Burp pour une intégration proxy fiable sans configuration manuelle du navigateur
  • Enregistrez régulièrement votre projet Burp pour préserver le travail et permettre la collaboration avec les membres de l'équipe

Éviter

  • Ne testez pas les applications sans autorisation explicite - les tests de sécurité non autorisés sont illégaux
  • Évitez les scans agressifs qui pourraient provoquer un déni de service - limitez le débit des scans automatisés
  • Ne vous appuyez jamais uniquement sur les résultats du scanner automatisé - vérifiez toujours manuellement les conclusions pour réduire les faux positifs

Foire aux questions

Burp Suite est-il gratuit ?
Burp Suite propose à la fois des éditions Community et Professional. L'édition Community inclut Proxy, Repeater et les fonctionnalités Intruder de base. L'édition Professional ajoute Scanner automatisé, les fonctionnalités Intruder avancées et le support des extensions.
Puis-je tester les sites HTTPS avec Burp Suite ?
Oui, mais vous devez installer le certificat CA de Burp dans votre navigateur pour intercepter le trafic HTTPS. Accédez à http://burp dans votre navigateur configuré pour télécharger le certificat, puis ajoutez-le aux racines de confiance de votre navigateur.
Quelle est la différence entre Repeater et Intruder ?
Repeater est pour les tests manuels et ad hoc de requêtes individuelles où vous modifiez et renvoyez une requête à la fois. Intruder automatise les tests répétés avec plusieurs payloads, utile pour le fuzzing, les attaques par force brute et l'énumération de paramètres.
Comment éviter de tester des sites web hors portée ?
Configurez la portée cible en faisant un clic droit sur votre hôte cible dans Target > Site map et sélectionnez 'Add to scope'. Activez ensuite le filtre d'affichage sur 'Show only in-scope items' pour exclure le trafic non désiré de votre vue.
Pourquoi mon navigateur ne se connecte-t-il pas via le proxy Burp ?
Vérifiez que l'écouteur proxy est actif dans Proxy > Options, confirmez que les paramètres proxy du navigateur pointent vers 127.0.0.1:8080, recherchez un pare-feu bloquant les connexions locales, ou utilisez le navigateur intégré de Burp pour une configuration fiable.
Est-il légal d'utiliser Burp Suite pour les tests de sécurité ?
Burp Suite est un outil légal, mais vous devez uniquement tester les applications que vous possédez ou pour lesquelles vous avez une autorisation écrite explicite. Les tests d'intrusion non autorisés sont illégaux dans la plupart des juridictions. Documentez toujours votre portée d'autorisation.

Détails du développeur

Auteur

sickn33

Licence

MIT

Dépôt

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/burp-suite-testing

Réf

main

Structure de fichiers

📄 SKILL.md