📍 Article principal du cluster : Burp Suite : le guide pratique 2026
Cet article fait partie du cluster « Burp Suite 2026 ». Pré-requis : Installation Burp Suite.
Cadre éthique préalable. Les extensions décrites étendent les capacités d’audit de Burp. Leur usage doit rester dans le cadre des autres tutoriels du cluster : labs personnels, bug bounty officiels, missions avec scope écrit. Plus l’outil est puissant, plus la rigueur du cadre légal compte.
Burp vanilla — sans extension — est déjà excellent. Mais six extensions du BApp Store sont devenues quasi-obligatoires dans la communauté professionnelle : elles comblent des trous fonctionnels, accélèrent des tâches courantes, et ouvrent des classes de tests que Burp seul couvre incomplètement. Ce tutoriel installe et configure les six à connaître, avec un cas d’usage concret pour chacune.
Prérequis
- Burp Suite installé et fonctionnel.
- Une connexion Internet pour accéder au BApp Store (intégré à Burp).
- Pour certaines extensions : Java Runtime ou Python (Burp gère l’environnement).
- Niveau : débutant à intermédiaire.
- Temps estimé : 60 minutes (15 min installation + 45 min prise en main).
Étape 1 — Accéder au BApp Store et naviguer
Dans Burp, onglet Extensions → BApp Store. Le store charge la liste des extensions disponibles, environ trois cents en 2026 (informations vérifiées en avril 2026, susceptibles d’évoluer ; vérifier la source officielle avant toute décision technique). Chaque entrée affiche : nom, auteur, popularité (étoiles), date de dernière mise à jour, compatibilité Pro/Community.
Avant d’installer, regardez deux indicateurs. Date de dernière mise à jour : si l’extension n’a pas bougé depuis trois ans, elle est probablement cassée par les évolutions de Burp ou abandonnée. Note de popularité : moins fiable mais utile pour un premier filtre. Vérifiez aussi le statut « Detail » : certaines extensions affichent « Requires Burp Suite Professional » — non utilisable en Community.
Pour ce tutoriel, ouvrez le store, et préparez-vous à installer six extensions : Logger++, Autorize, Param Miner, JWT Editor, Active Scan++, Turbo Intruder. Toutes sont gratuites, compatibles Community sauf Active Scan++ qui demande Pro pour ses chèques actifs.
Étape 2 — Logger++ : indexation et recherche dans tout le trafic
Cherchez « Logger++ » dans le BApp Store. Cliquez Install. Quelques secondes plus tard, un onglet « Logger++ » apparaît dans Burp.
Logger++ est ce que devrait être le HTTP history de Burp. Au lieu d’une simple liste, vous avez un tableau triable et filtrable sur n’importe quelle colonne par regex. Toutes les requêtes de tous les outils de Burp (Proxy, Repeater, Intruder, Scanner) y sont indexées en un seul endroit.
Cas d’usage. Vous testez une grosse application, vous cherchez toutes les requêtes qui contiennent un paramètre « id » dans la query string. Onglet Logger++, champ « Filter » en haut, tapez request.parameters.url.name == "id". Toutes les requêtes correspondantes apparaissent. Tri sur la colonne « Length » pour repérer les anomalies. Cette recherche prend dix secondes ; sans Logger++ elle prendrait des minutes en parcourant le HTTP history.
Configurez la rétention dans Logger++ → Options : limitez à 50 000 entrées pour éviter la consommation mémoire excessive sur les longs projets.
Étape 3 — Autorize : détection automatique des broken access control
Cherchez « Autorize » dans le BApp Store. Install.
Autorize automatise les tests de contrôle d’accès. Vous lui fournissez deux sessions — une « high-privileged » (admin par exemple) et une « low-privileged » (utilisateur standard). Pendant que vous naviguez avec la session admin, Autorize rejoue chaque requête avec la session basse en arrière-plan, et compare les réponses. Si une réponse en session basse est identique à celle en session haute, c’est un broken access control — l’utilisateur basse peut accéder à des ressources réservées au haut.
Configuration. Onglet Autorize. Champ « Enter the cookie of the low-privileged user » : collez le cookie de session de votre utilisateur normal. Cliquez « Autorize is off » pour passer à « on ». Naviguez maintenant avec votre admin. Autorize teste chaque requête en parallèle.
Le tableau Autorize affiche pour chaque requête trois statuts : « Bypassed! » (la basse a accédé aussi → vulnérabilité), « Enforced! » (correctement bloqué), « Is enforced??? » (à vérifier manuellement). Cliquez sur les « Bypassed » pour examiner et confirmer chaque finding.
Sur une mission complexe, Autorize économise des heures de tests manuels. C’est l’extension qui paie le plus rapidement après installation.
Étape 4 — Param Miner : trouver les paramètres cachés
Cherchez « Param Miner » dans le BApp Store. Install.
Beaucoup d’applications acceptent des paramètres qui ne sont pas documentés ni utilisés par leur frontend, mais qui sont reconnus par leur backend pour des raisons historiques ou de debug. Ces paramètres cachés ouvrent des surfaces d’attaque non répertoriées. Param Miner les découvre par bruteforce intelligent : il envoie des requêtes avec des noms de paramètres communs et observe les variations dans la réponse.
Usage. Clic droit sur une requête dans Repeater ou Proxy history → Param Miner → Guess params → Guess GET parameters (ou POST, headers, cookies selon le contexte). Param Miner lance plusieurs vagues de fuzzing avec sa wordlist intégrée. Quand il détecte un paramètre qui change la réponse de manière significative, il l’ajoute à un tableau de findings.
Le cas d’usage classique : vous trouvez un paramètre debug=true que le backend reconnaît et qui active un mode plus verbeux, exposant des informations sensibles. Ou un paramètre admin=1 qui passe en mode admin sur des endpoints mal sécurisés. Findings rares mais à fort impact.
Étape 5 — JWT Editor : édition et signature de JWT
Cherchez « JWT Editor » dans le BApp Store. Install.
L’extension est l’outil de référence pour manipuler les JSON Web Tokens. Le tutoriel Burp + JWT et OAuth couvre son usage en détail.
Capabilities clés : décodage automatique des JWT visibles dans Repeater et Proxy, édition du header et du payload en mode formulaire, support de tous les algorithmes (HS256, RS256, ES256, none), génération de paires de clés à la volée, signature avec clés symétriques ou asymétriques, attaques pré-configurées (alg=none, key confusion, jwk injection).
Sans cette extension, manipuler des JWT demande un script Python ou un site web tiers — ce qui exfiltre vos tokens. Avec l’extension, tout reste dans Burp, en local.
Étape 6 — Active Scan++ (Pro uniquement)
Cherchez « Active Scan++ » dans le BApp Store. Install. Cette extension est compatible Pro uniquement parce qu’elle ajoute des chèques au Scanner officiel — qui n’existe pas en Community.
Active Scan++ étend les chèques actifs du Scanner Pro avec des classes de vulnérabilités que la version officielle couvre incomplètement. Notamment : HTTP Request Smuggling avancé (CL.TE, TE.CL, TE.TE), Cache Poisoning, Server-Side Template Injection (SSTI) sur Jinja2, Twig, Velocity, FreeMarker, Prototype Pollution côté client, plusieurs variantes d’injection non couvertes par défaut.
Usage : aucune configuration. Une fois installée, l’extension s’intègre nativement au Scanner. Les nouveaux chèques s’exécutent automatiquement lors de chaque audit actif. Les findings apparaissent dans le panneau Issues classique, identifiables par leur description qui mentionne « Active Scan++ ».
Pour qui fait des audits Pro, c’est l’extension qui ajoute le plus de valeur après JWT Editor. À installer dès le premier projet.
Étape 7 — Turbo Intruder : attaques à très haute concurrence
Cherchez « Turbo Intruder » dans le BApp Store. Install.
Quand Intruder vanilla ne suffit plus — typiquement pour la recherche de race conditions où vous voulez envoyer plusieurs centaines de requêtes simultanément à l’instant T — Turbo Intruder prend le relais. C’est un module Python intégré à Burp qui peut atteindre des milliers de requêtes par seconde sur une cible robuste.
Usage. Clic droit sur une requête → Extensions → Turbo Intruder → Send to turbo intruder. Une fenêtre s’ouvre avec un éditeur Python. Vous écrivez le script qui pilote l’attaque. Plusieurs templates sont fournis (race condition, basic brute force, etc.).
Cas d’usage emblématique : exploiter une race condition de double-spending dans une app de transfert d’argent. La logique métier vérifie le solde, puis débit. Si vous envoyez 100 requêtes de transfert simultanées en moins d’une milliseconde, plusieurs peuvent passer la vérification de solde avant qu’un débit n’ait été commit. Résultat : transferts multiples sur un solde unique. Turbo Intruder est l’outil de choix pour reproduire ce genre de bugs.
Cette puissance demande de la responsabilité — sur une cible non préparée, vous générez du DoS. À utiliser uniquement sur lab dédié ou avec autorisation explicite incluant les tests de race condition.
Étape 8 — Configurer l’auto-update et la persistance
Une fois ces six extensions installées, configurez Burp pour que la liste persiste entre projets. Onglet Extensions → Installed. Pour chaque extension, vérifiez que la case « Loaded » est cochée — décocher la désactive temporairement sans désinstaller.
Pour les mises à jour : le BApp Store ne met pas à jour automatiquement. Tous les deux ou trois mois, ouvrez le BApp Store et regardez la colonne « Update available ». Mettez à jour vos extensions installées en cliquant Reinstall. Comptez cinq minutes pour la séquence complète.
Sauvegardez aussi votre configuration de projet par défaut avec ces extensions chargées. Burp menu → Settings → Export settings. Pour chaque nouveau projet, vous importerez ce fichier et démarrerez avec votre setup standard.
Étape 9 — Extensions situationnelles à connaître
Les six précédentes sont les fondations. Selon le contexte de mission, d’autres extensions valent le détour ponctuellement.
InQL — GraphQL Scanner. Pour les apps modernes avec API GraphQL. Introspecte le schéma, génère les requêtes possibles, identifie les introspection leaks et les mauvaises configurations de profondeur de query.
Backslash Powered Scanner. Extension de PortSwigger Research qui ajoute des chèques basés sur des techniques d’injection novatrices. Demande Pro et ses scans actifs sont coûteux en temps. À activer ponctuellement quand vous suspectez une SQLi non triviale.
Software Vulnerability Scanner. Identifie les versions de bibliothèques détectées dans les réponses (jQuery, Bootstrap, frameworks JS) et signale celles avec CVEs connues. Utile pour le rapport client en mention « bibliothèques tierces obsolètes ».
Reflected Parameters. Trouve les paramètres dont la valeur est reflétée dans la réponse — point de départ classique des XSS. Aide à prioriser les paramètres à fuzzer pour XSS.
Hackvertor. Tags d’encoding/décoding inline dans les requêtes Burp — vous écrivez <@base64>texte</@base64> dans un Repeater et Burp encode automatiquement à l’envoi. Ultra-pratique pour les tests qui combinent plusieurs encodages.
Copy as Curl ou Curl It. Convertit une requête Burp en commande curl prête à coller dans un terminal — utile pour partager un PoC dans un rapport ou collaborer avec un dev qui n’a pas Burp.
Étape 10 — Vérifier votre setup
Pour valider, lancez un mini-audit sur OWASP Juice Shop ou un lab PortSwigger Academy. Naviguez l’application via Burp avec Logger++ actif (vérifiez l’indexation), activez Autorize avec une session basse, lancez Param Miner sur une URL avec des paramètres, ouvrez un JWT visible dans JWT Editor, lancez le Scanner avec Active Scan++ chargé.
Si tout fonctionne sans accroc — extensions chargées, panneaux dédiés visibles, premier finding détecté par chacune — votre setup est prêt pour les missions réelles. Vous tenez désormais l’outil au niveau professionnel.
Erreurs fréquentes
| Erreur | Cause | Solution |
|---|---|---|
| Extension qui ne charge pas | Version incompatible avec Burp installé | Mettre à jour Burp à la dernière version, réinstaller l’extension. |
| Logger++ qui consomme toute la RAM | Pas de limite de rétention configurée | Options Logger++ → Filter to relevant traffic + max entries. |
| Autorize qui rapporte des faux positifs | Cookie session basse expiré pendant le test | Renouveler le cookie session basse régulièrement. |
| Param Miner qui timeout | Cible avec rate limiting | Réduire la concurrence dans Options Param Miner. |
| Turbo Intruder qui ne tourne pas | Erreur de syntaxe Python dans le script | Lire les logs dans Extensions → Output ; corriger l’erreur. |
| Active Scan++ inactif sur Community | Extension nécessite Scanner = Pro uniquement | C’est attendu. Acheter Pro ou s’en passer. |
Adaptation au contexte ouest-africain
Pour un freelance qui démarre, prioriser sur les six extensions principales fait gagner deux à trois mois de courbe d’apprentissage par rapport à un usage Burp vanilla. Les extensions sont gratuites — l’investissement est uniquement en temps de prise en main.
Pour la formation interne d’une équipe pentest dans une agence à Dakar ou Abidjan, créez un fichier de configuration Burp standard avec ces six extensions chargées par défaut, et distribuez-le à tous les analystes. Tout le monde démarre avec le même outillage, les rapports gagnent en cohérence, et les onboardings de juniors prennent quelques jours au lieu de quelques semaines.
Pour les missions sur des apps africaines, les findings produits par Autorize en particulier sont régulièrement de gros findings — beaucoup de plateformes locales ont des contrôles d’accès incomplets entre rôles utilisateur, par manque d’audit dédié. C’est l’une des classes les plus rentables en consulting local : vous trouvez des broken access control en quelques heures, vous livrez un rapport solide, vous facturez confortablement.
Tutoriels frères
- Installation et configuration Burp Suite — pré-requis avant les extensions.
- Burp + JWT et OAuth — usage avancé de JWT Editor.
- Workflow bug bounty — où ces extensions montrent leur ROI.
Pour aller plus loin
- 🔝 Retour au pilier : Burp Suite : le guide pratique 2026
- BApp Store officiel : portswigger.net/bappstore
- Documentation Extender : portswigger.net/burp/documentation/extensions
- Suggestion : enchaînez avec Workflow bug bounty pour rentabiliser votre setup.
FAQ
Toutes les extensions sont-elles gratuites ?
Toutes celles du BApp Store officiel oui. Certaines extensions tierces (BurpBounty Pro, certaines suites maison) sont payantes mais hors BApp Store.
Puis-je écrire ma propre extension ?
Oui, en Java, Python (via Jython) ou Kotlin. Documentation Extender API sur portswigger.net. Pour des extensions ultra-spécifiques à un client (parser custom de leur API métier), c’est l’investissement qui paie.
Combien d’extensions puis-je avoir chargées simultanément ?
Pas de limite stricte. En pratique, chaque extension consomme RAM et CPU. Restez sur 6-10 extensions actives, désactivez celles non utilisées sur le projet courant.
Les extensions ont-elles accès à mes données de projet ?
Oui, par construction — elles s’exécutent dans le contexte de Burp avec accès à toute votre session. Pour cette raison, n’installez que des extensions du BApp Store officiel ou de sources de confiance vérifiables.
Existe-t-il un équivalent BApp Store pour OWASP ZAP ?
Oui, ZAP a son propre marketplace d’extensions appelé Add-ons. Mais l’écosystème est plus restreint que celui de Burp.
Mots-clés secondaires : Burp BApp Store, extensions Burp, Logger++, Autorize, Param Miner, Turbo Intruder, JWT Editor, Active Scan++.