Reconnaissance web — Burp Suite, Subfinder, Amass, fingerprinting

1. La reconnaissance : fondement du bug bounty

La reconnaissance (recon) est l'étape la plus importante et souvent la plus chronophage du bug bounty. Les meilleurs chasseurs de bugs passent 60 à 70% de leur temps en reconnaissance. L'objectif est de cartographier exhaustivement la surface d'attaque de la cible avant de commencer tout test actif.

On distingue deux types de reconnaissance :

• Passive : collecte d'informations sans contact direct avec les serveurs cibles (OSINT, archives web, DNS public)
• Active : interaction directe avec les serveurs (scan, fuzzing, spidering) — toujours vérifier que c'est dans le scope

2. Burp Suite : l'outil central du bug bounty web

Burp Suite (développé par PortSwigger) est la référence absolue pour les tests de sécurité web. La version Community est gratuite et suffisante pour débuter ; la version Professional (~450$/an) ajoute le scanner automatique, l'intruder sans limite de vitesse, et des fonctionnalités avancées.

2.1 Configuration du proxy Burp

Burp agit comme proxy entre votre navigateur et les serveurs web. Configuration standard :

1. Burp Suite → Proxy → Options → Add listener: 127.0.0.1:8080\n2. Navigateur → Paramètres proxy → HTTP: 127.0.0.1:8080\n3. Installer le certificat CA de Burp pour intercepter le HTTPS :\n   Naviguer vers http://burpsuite/ → Download CA Certificate\n   Importer dans les certificats racine du navigateur

2.2 Fonctionnalités clés de Burp pour le bug bounty

• Proxy : Interception et modification des requêtes/réponses HTTP(S)
• Repeater : Rejouer et modifier des requêtes individuelles pour tester des payloads
• Intruder : Automatisation de tests répétitifs (fuzzing de paramètres)
• Decoder : Encodage/décodage Base64, URL, HTML, Hex
• Comparer : Comparer deux réponses pour identifier des différences subtiles
• Logger : Historique complet de toutes les requêtes

2.3 Extensions Burp indispensables

BApp Store (inclus dans Burp) :\n- Param Miner : découverte de paramètres cachés\n- Active Scan++ : règles de détection avancées\n- JS Link Finder : extraction de liens depuis JS\n- Retire.js : détection de librairies JS vulnérables\n- Logger++ : logs avancés avec filtres

3. Découverte de sous-domaines

Les sous-domaines sont souvent la mine d'or du bug bounty. Les anciennes applications, les environnements de staging, les APIs internes exposées par erreur se trouvent fréquemment sur des sous-domaines.

3.1 Subfinder

Subfinder est un outil de découverte de sous-domaines passif qui interroge de nombreuses sources (Shodan, VirusTotal, CertSpotter, Chaos, etc.).

# Installation\ngo install -v github.com/projectdiscovery/subfinder/v2/cmd/subfinder@latest\n\n# Usage basique\nsubfinder -d exemple.com -o sous-domaines.txt\n\n# Avec sources multiples (API keys recommandées)\nsubfinder -d exemple.com -all -recursive -o recon.txt\n\n# Résolution DNS et filtrage des actifs\nsubfinder -d exemple.com | dnsx -resp -a -aaaa > actifs.txt

3.2 Amass (OWASP)

Amass est l'outil de reconnaissance réseau le plus complet, développé par OWASP. Il combine reconnaissance passive, active et scraping pour une couverture maximale.

# Énumération passive\namass enum -passive -d exemple.com -o amass_passif.txt\n\n# Énumération active (brute force DNS)\namass enum -active -d exemple.com -brute -o amass_actif.txt\n\n# Visualisation du graphe\namass viz -d3 -dir ~/.config/amass/

3.3 Certificate Transparency (CT Logs)

Les logs de transparence des certificats TLS sont une source exceptionnelle : chaque certificat émis est enregistré publiquement.

# Sources principales\nhttps://crt.sh/?q=%.exemple.com\nhttps://censys.io/certificates?q=parsed.names%3Aexemple.com\n\n# Automatisation\ncurl -s "https://crt.sh/?q=%.exemple.com&output=json" | jq -r '.[].name_value' | sort -u

4. Fingerprinting : identifier les technologies

Le fingerprinting permet d'identifier les technologies utilisées par la cible (framework, CMS, serveur web, version) pour adapter les tests aux vulnérabilités connues.

4.1 Whatweb

whatweb -a 3 https://exemple.com\n# -a 3 : niveau d'agressivité (1=passif, 3=actif)

4.2 Wappalyzer

Extension navigateur qui identifie automatiquement les technologies d'une page web. Disponible pour Chrome et Firefox. Interface simple et résultats visuels immédiats.

4.3 Shodan

# Recherche manuelle\nhttps://www.shodan.io/search?query=hostname:exemple.com\n\n# API CLI\nshodan search --fields ip_str,port,org,hostnames "hostname:exemple.com"

4.4 Nuclei — scanner de templates

Nuclei (ProjectDiscovery) est un scanner ultra-rapide basé sur des templates YAML. Il détecte des milliers de vulnérabilités connues, panneaux d'administration exposés, fichiers sensibles.

nuclei -u https://exemple.com -t technologies/ -o nuclei_recon.txt\nnuclei -l urls.txt -t cves/ -severity critical,high

5. Workflow de reconnaissance complet

Phase 1 - Scope analysis:\n  → Lire la politique du programme\n  → Extraire tous les domaines/IPs autorisés\n\nPhase 2 - Subdomain enumeration:\n  subfinder + amass + crt.sh → dnsx (résolution) → httpx (HTTP probe)\n\nPhase 3 - Content discovery:\n  ffuf -u https://TARGET/FUZZ -w wordlist.txt\n  → Identifier les technologies (Wappalyzer, whatweb)\n  → Chercher fichiers exposés (.git, .env, backup)\n\nPhase 4 - JavaScript analysis:\n  → Extraire endpoints depuis les fichiers JS\n  → LinkFinder, JS-Miner\n\nPhase 5 - Manual browsing via Burp:\n  → Mapper toutes les fonctionnalités\n  → Identifier les points d'entrée (paramètres, headers)