المهارات Burp Suite Web Application Testing
📦

Burp Suite Web Application Testing

آمن

Maîtrisez les tests de sécurité des applications web avec Burp Suite

Les tests de sécurité des applications web nécessitent une méthodologie systématique et les bons outils. Cette compétence fournit des conseils complets pour utiliser Burp Suite afin d'intercepter le trafic, modifier les requêtes et découvrir des vulnérabilités dans le cadre de tests autorisés.

يدعم: Claude Codex Code(CC)
📊 71 كافٍ
1

تنزيل ZIP المهارة

2

رفع في Claude

اذهب إلى Settings → Capabilities → Skills → Upload skill

3

فعّل وابدأ الاستخدام

اختبرها

استخدام "Burp Suite Web Application Testing". L'utilisateur souhaite intercepter et modifier une requête de panier pour tester la manipulation de prix

النتيجة المتوقعة:

  • 1. Accédez à Proxy > Intercept et assurez-vous que 'Intercept is on'
  • 2. Ajoutez un article au panier dans le navigateur - la requête sera mise en pause dans Burp
  • 3. Localisez le paramètre de prix dans la requête POST interceptée (par exemple, price=9999)
  • 4. Modifiez la valeur directement (par exemple, changez en price=1)
  • 5. Cliquez sur Forward pour envoyer la requête modifiée
  • 6. Finalisez la commande et vérifiez si le prix manipulé a été accepté
  • 7. Documentez la découverte : Le serveur fait confiance aux valeurs de prix fournies par le client - faille critique de logique métier

استخدام "Burp Suite Web Application Testing". L'utilisateur souhaite tester un formulaire de connexion pour les injections SQL en utilisant Repeater

النتيجة المتوقعة:

  • 1. Soumettez normalement des identifiants de connexion et capturez la requête dans Proxy
  • 2. Faites un clic droit sur la requête et sélectionnez 'Send to Repeater'
  • 3. Dans l'onglet Repeater, modifiez le nom d'utilisateur en : admin' OR '1'='1'--
  • 4. Cliquez sur Send et analysez la réponse
  • 5. Recherchez des indicateurs : connexion réussie, erreurs de base de données ou longueur de réponse différente
  • 6. Si la connexion réussit avec la charge utile d'injection, documentez-la comme vulnérabilité d'injection SQL
  • 7. Testez des charges utiles supplémentaires pour confirmer et caractériser la vulnérabilité

التدقيق الأمني

آمن
v1 • 2/25/2026

This skill is a documentation/tutorial file (SKILL.md) that teaches users how to use Burp Suite for authorized web application security testing. All static analysis findings are false positives: the detected 'external commands' are Markdown code formatting, 'network' references are localhost/Burp's local URLs, and 'path traversal' patterns are educational example payloads. No executable code or security risks present.

1
الملفات التي تم فحصها
381
الأسطر التي تم تحليلها
0
النتائج
1
إجمالي عمليات التدقيق
لا توجد مشكلات أمنية
تم تدقيقه بواسطة: claude

درجة الجودة

38
الهندسة المعمارية
100
قابلية الصيانة
87
المحتوى
50
المجتمع
100
الأمان
65
الامتثال للمواصفات

ماذا يمكنك بناءه

Ingénieur en sécurité effectuant un test d'intrusion autorisé

Un professionnel de la sécurité doit tester les vulnérabilités d'une application web cliente. Il utilise cette compétence pour configurer le proxy Burp Suite, intercepter les requêtes d'authentification, tester les injections SQL dans les formulaires de connexion et exécuter des analyses automatiques pour identifier les problèmes de sécurité avant de fournir des recommandations de correction.

Développeur apprenant la sécurité des applications

Un développeur logiciel souhaite comprendre comment les attaquants exploitent les vulnérabilités web. Il suit les conseils de cette compétence pour configurer Burp Suite, intercepter le trafic de sa propre application, modifier les paramètres pour tester des cas limites et apprendre à identifier et corriger les problèmes de sécurité dans son code.

Chercheur en bug bounty testant des cibles limitées par le périmètre

Un chasseur de bugs utilise cette compétence pour tester efficacement des applications web dans le périmètre autorisé. Il configure le périmètre de cible pour éviter les requêtes hors périmètre, utilise Repeater pour tester des paramètres intéressants et applique des attaques Intruder pour découvrir des contournements d'authentification ou des failles de logique métier.

جرّب هذه الموجهات

Débutant : Configurer le proxy Burp Suite 
Aidez-moi à configurer Burp Suite pour intercepter le trafic HTTP de mon navigateur. J'ai Burp Suite Community Edition d'installé. Guidez-moi pour lancer le navigateur intégré, activer l'interception et vérifier que les requêtes sont capturées dans l'historique HTTP.
Intermédiaire : Tester les injections SQL 
J'ai trouvé un formulaire de connexion avec des champs nom d'utilisateur et mot de passe. Guidez-moi pour envoyer la requête de connexion à Burp Repeater et tester les vulnérabilités d'injection SQL. Montrez-moi quelles charges utiles essayer et comment analyser les réponses pour détecter des signes d'injection SQL.
Avancé : Configurer une analyse automatique 
Je dois exécuter une analyse de sécurité complète sur une application web à l'adresse https://test-target.example.com. Aidez-moi à configurer une nouvelle analyse dans Burp Suite Professional avec des paramètres appropriés pour une analyse équilibrée, définir correctement le périmètre de cible et expliquer comment interpréter les résultats de l'analyse.
Expert : Tester la logique métier avec Intruder 
Je teste une application e-commerce pour des vulnérabilités de manipulation de prix. Guidez-moi pour envoyer une requête POST de panier à Burp Intruder, configurer les positions de charge utile pour le paramètre de prix, configurer une liste de valeurs de test et analyser les réponses pour identifier si le serveur fait confiance aux prix fournis par le client.

أفضل الممارسات

  • Définissez toujours le périmètre de cible avant de tester pour éviter les requêtes accidentelles hors périmètre et réduire le bruit dans l'historique HTTP
  • Utilisez le navigateur intégré de Burp pour une intégration de proxy fiable sans configuration manuelle de certificat
  • Sauvegardez votre projet Burp régulièrement pour préserver la progression des tests, les cartes de site et les découvertes
  • Vérifiez manuellement tous les résultats d'analyse automatique pour éliminer les faux positifs avant de produire un rapport
  • Appliquez une limitation de débit aux analyses automatiques et aux attaques Intruder pour éviter de déclencher des blocages WAF ou de causer un déni de service

تجنب

  • Tester des applications sans autorisation écrite explicite - testez uniquement les systèmes que vous possédez ou pour lesquels vous avez une permission
  • Exécuter des analyses agressives sur des systèmes de production sans limitation de débit - peut provoquer des interruptions de service
  • Ignorer la configuration du périmètre de cible - conduit à capturer des requêtes tierces et à des problèmes juridiques potentiels
  • Signaler des résultats de scanner automatique sans vérification manuelle - entraîne des rapports de faux positifs

الأسئلة المتكررة

Quelle est la différence entre les éditions Community et Professional de Burp Suite ?
Community Edition inclut Proxy, Repeater, Intruder (avec limitation de débit) et les extensions. Professional ajoute l'analyse automatique de vulnérabilités, la fonctionnalité complète d'Intruder et des outils avancés. Community est gratuit ; Professional nécessite une licence payante.
Comment installer le certificat CA de Burp pour l'interception HTTPS ?
Avec Burp en cours d'exécution, naviguez vers http://burp dans votre navigateur et cliquez sur 'CA Certificate' pour télécharger. Installez le certificat dans les autorités de certification de confiance de votre navigateur ou de votre système. Redémarrez votre navigateur après l'installation.
Pourquoi les requêtes de mon navigateur n'apparaissent-elles pas dans l'historique HTTP de Burp ?
Vérifiez que : (1) l'écouteur proxy est actif dans Proxy > Options, (2) le proxy de votre navigateur est configuré sur 127.0.0.1:8080, (3) aucun pare-feu ne bloque les connexions locales et (4) l'URL cible utilise HTTP ou que vous avez installé le certificat CA pour HTTPS.
Que fait 'Send to Repeater' et quand dois-je l'utiliser ?
Repeater vous permet de modifier et de renvoyer manuellement des requêtes individuelles. Utilisez-le lorsque vous souhaitez tester des variations spécifiques de paramètres, des entrées fuzz ou reproduire un comportement intéressant. Il est idéal pour les tests manuels ciblés d'endpoints spécifiques.
Comment puis-je tester uniquement des parties spécifiques d'une application web ?
Utilisez la fonctionnalité de périmètre de cible de Burp. Faites un clic droit sur l'hôte cible dans Target > Site map et sélectionnez 'Add to scope'. Ensuite, activez 'Show only in-scope items' dans le filtre d'affichage. Cela concentre vos tests et évite les requêtes accidentelles hors périmètre.
Que dois-je faire si l'analyseur automatique de Burp fonctionne lentement ?
Réduisez le périmètre aux URL essentielles, sélectionnez un mode d'analyse plus rapide (Lightweight ou Fast au lieu de Deep), augmentez la taille du tas Java dans les paramètres de démarrage de Burp, désactivez les extensions inutilisées et fermez les onglets Burp inutiles pour libérer des ressources.

تفاصيل المطور

المؤلف

sickn33

الترخيص

MIT

المستودع

https://github.com/sickn33/antigravity-awesome-skills/tree/main/web-app/public/skills/burp-suite-testing

مرجع

main

بنية الملفات

📄 SKILL.md