Burp Suite
Proxy, Repeater, Intruder, Scanner, extensions, sessions, tests d'authentification.
Avant de démarrer, on fait un test technique de 1 min — micro, bruit, connexion. Si ton matériel ne convient pas, le test est remboursé intégralement.
Proxy, Repeater, Intruder, Scanner, extensions, sessions, tests d'authentification.
Avant de démarrer, on fait un test technique de 1 min — micro, bruit, connexion. Si ton matériel ne convient pas, le test est remboursé intégralement.
Prouve que tu maîtrises Burp Suite pour de vrai : Proxy, Intruder, Scanner et extensions -- pas juste sur le papier, mais face à un examinateur IA qui creuse tes cas concrets de pentest web.
Le badge Burp Suite de Plume certifie ta capacité à utiliser PortSwigger Burp Suite Professional comme un pentesteur web confirmé. En 15 minutes d'oral face à une IA, tu es interrogé sur des scénarios réels : configuration du Proxy et des règles de matching, choix des modes Intruder (Sniper, Pitchfork, Cluster Bomb), gestion des sessions complexes avec macros et Session Handling Rules, exploitation des extensions BApp Store comme Autorize, Turbo Intruder ou Logger++, et intégration dans une chaîne CI/CD via l'API REST de Burp Enterprise. L'examen porte aussi sur tes limites : quand est-ce que tu laisses Burp de côté pour Caido, ZAP ou Nuclei ?
Ce qui distingue ce badge d'une simple ligne sur un CV ou d'un profil LinkedIn, c'est que tu ne peux pas le faire sans expérience opérationnelle. L'IA examinatrice (OpenAI Realtime) te pousse sur des détails que seul quelqu'un ayant réellement travaillé avec Burp connaît : comment tu automatises un scan authentifié quand l'appli invalide les tokens toutes les 30 secondes, comment tu contournes le certificate pinning sur mobile, ou encore ce que DOM Invader et les Bambdas t'ont changé dans ta pratique quotidienne. Un second modèle IA (Claude Opus) lit ensuite la transcription et produit un score de 0 à 100 avec un niveau certifié.
Ce badge s'adresse aux pentesters web, bug bounty hunters, consultants en sécurité offensive et développeurs sécurité qui veulent prouver leur niveau opérationnel sur l'outil de référence du secteur. Que tu prépares une mission chez un client, une candidature à un poste Red Team ou une montée en gamme de ton profil freelance, le badge Burp Suite te donne une preuve concrète et vérifiable de ta maîtrise.
Voici les dimensions concrètes que l'IA examine pendant les 15 minutes d'oral.
Configuration fine du Proxy Burp, règles Match and Replace, gestion des certificats CA, interception sélective selon les scope rules et les filtres de Proxy history.
Maîtrise des quatre modes (Sniper, Battering Ram, Pitchfork, Cluster Bomb), sélection des payload sets adaptés, gestion du throttling et contournement des protections anti-brute-force.
Configuration du scanner actif et passif, réglage des politiques d'audit, analyse des issues trouvées et distinction faux positifs / vrais positifs dans les rapports générés.
Création de macros pour ré-authentification automatique, Session Handling Rules avec tests de portée, gestion des tokens JWT/CSRF qui s'invalident rapidement pour maintenir un scan authentifié.
Usage contextuel de Logger++, Autorize, Turbo Intruder, JWT Editor, Param Miner et autres. Capacité à coder ou adapter une extension en Python (Jython) ou en Java pour un besoin spécifique.
Test de JWT (alg:none, key confusion), SSO/SAML, MFA bypass, OAuth flows. Connaissance des attaques spécifiques à chaque mécanisme et de la façon dont Burp les expose ou les limite.
Utilisation de l'API REST Burp Enterprise, pilotage de scans automatisés dans une pipeline, comparaison avec ZAP, Nuclei ou Caido et compréhension des cas où Burp n'est pas le bon choix.
Maîtrise de DOM Invader pour les vulnérabilités DOM XSS, usage des Bambdas (filtres Java personnalisés dans l'historique Proxy), et regard critique sur l'évolution du marché des proxies d'interception.
L'évaluation finale est faite par Claude (Anthropic) qui relit la transcription complète et applique cette grille de critères pondérés.
Capacité à décrire avec précision le fonctionnement des modules natifs (Proxy, Repeater, Intruder, Scanner, Collaborator), leurs options avancées et leurs interactions dans un workflow de pentest réel.
Les exemples cités sont-ils crédibles, détaillés et révélateurs d'une expérience opérationnelle réelle ? L'examinateur évalue si les scénarios décrits correspondent à des missions authentiques et non à des labs de synthèse.
Compréhension démontrée des macros, Session Handling Rules et des workflows d'authentification complexes (JWT, MFA, SSO). Capacité à expliquer comment maintenir un scan authentifié sur des apps défensives.
Connaissance pratique des extensions BApp Store et capacité à justifier leur usage par rapport au Burp natif. Bonus si le candidat a développé ou modifié une extension pour un besoin spécifique.
Capacité à identifier les cas où Burp Suite n'est pas adapté (gRPC, certificate pinning mobile, WebSockets exotiques) et à proposer des alternatives pertinentes avec des arguments techniques solides.
Une session Plume tient en environ 20 minutes, du test technique à la délivrance du badge.
Test du micro, du niveau sonore et de la connexion. L'IA confirme que tout est bon et explique rapidement le déroulé : 15 minutes, pas de slides, juste un échange oral sur ta pratique de Burp Suite.
Tu te présentes brièvement et décris ton utilisation la plus récente ou la plus significative de Burp Suite : type de mission, périmètre testé, environnement (web, API, mobile) et rôle que tu as joué dans l'équipe.
L'IA enchaîne des questions ciblées sur tes cas concrets : configuration de sessions et macros, choix des modes Intruder, usage des extensions BApp Store, gestion de l'authentification complexe, intégration CI/CD. Elle s'adapte à tes réponses et creuse les points flous ou les affirmations ambitieuses.
L'examinateur t'interroge sur les limites de Burp Suite, les alternatives que tu utilises et ce que les évolutions récentes (DOM Invader, Bambdas, Caido) ont changé dans ta pratique quotidienne de pentesteur.
Claude Opus analyse la transcription de ton oral et produit un score de 0 à 100, un niveau (Novice, Confirmé, Avancé, Expert), un rapport détaillé et une URL de badge partageable. Tu reçois tout par email.
Le score sur 100 se traduit en un niveau lisible d'un coup d'œil par un recruteur.
Tu as découvert Burp Suite via des labs (PortSwigger Web Academy, TryHackMe) et tu sais intercepter du trafic, modifier des requêtes dans le Repeater et lancer un scan passif de base. Tu n'as pas encore utilisé Burp sur de vraies missions de pentest.
Tu utilises Burp Suite régulièrement sur des missions ou des programmes de bug bounty. Tu maîtrises l'Intruder avec plusieurs modes, tu sais configurer le scope, utiliser quelques extensions du BApp Store et produire un rapport de scan. Les sessions complexes et les macros te posent encore parfois problème.
Tu orchestres des scans authentifiés complets avec macros et Session Handling Rules, tu utilises Turbo Intruder pour des attaques de haute précision, tu exploites JWT Editor et Autorize pour des tests de contrôle d'accès, et tu sais quand basculer sur un autre outil. Tu intègres Burp dans tes pipelines ou tes livrables clients.
Tu maîtrises l'intégralité de l'écosystème Burp Suite Professional et Enterprise : Bambdas, DOM Invader, API REST, développement d'extensions personnalisées. Tu formes d'autres pentesters, tu définis les processus d'audit de ton équipe et tu as un regard critique argumenté sur les concurrents comme Caido ou ZAP.
Pas besoin d'années d'expérience ou de diplôme pour passer le badge. Voici les profils pour qui il fait sens.
Burp Suite est ton outil quotidien. Le badge valide ta profondeur opérationnelle auprès de clients et d'employeurs qui ne peuvent pas évaluer ton niveau autrement qu'en te faisant confiance sur parole.
Un badge Burp Suite Avancé ou Expert crédibilise ton profil HackerOne ou Bugcrowd et t'aide à décrocher des programmes privés ou des collaborations rémunérées avec des entreprises qui cherchent des chasseurs qualifiés.
Tu utilises Burp pour analyser le trafic de tes propres applications et intégrer des scans dans ta CI/CD. Le badge prouve que tu dépasses l'usage basique et que tu comprends les résultats d'audit en profondeur.
Compléter ton OSCP ou ton master sécu avec un badge Burp Suite Confirmé ou Avancé montre aux recruteurs que tu as une maîtrise opérationnelle de l'outil, pas seulement une connaissance théorique.
Afficher un badge vérifié sur ton profil Malt ou LinkedIn te différencie des freelances auto-déclarés et justifie un positionnement tarifaire plus élevé face à des clients exigeants.
Où et comment ton badge Burp Suite va te servir au quotidien.
Tu postules à un poste de consultant Red Team dans un cabinet de conseil en cybersécurité. Le recruteur reçoit ton badge Burp Suite Avancé avec le rapport détaillé : il sait exactement sur quels modules tu es solide et sur quels points tu progresser, sans te faire passer un test technique maison de 3 heures.
Tu ajoutes l'URL de ton badge à ta fiche Malt. Un RSSI qui cherche un pentesteur pour un audit web clique, voit ton score de 78/100 niveau Avancé et le rapport IA, et te contacte directement -- sans avoir à te poser les questions de base en entretien.
Tu envoies ton badge Burp Suite Expert avec ta candidature à un programme privé sur HackerOne. La plateforme ou le client voient une preuve objective de ta maîtrise des outils, ce qui augmente tes chances d'être sélectionné parmi des centaines de candidats.
Un responsable SOC veut évaluer le niveau de ses analystes sur Burp Suite avant de leur confier des missions de pentest web. Les badges Plume lui donnent une cartographie objective des niveaux sans avoir à organiser des examens en interne.
Tu es dev backend et tu veux basculer vers l'AppSec ou le pentest web. Passer le badge Burp Suite Confirmé prouve à tes futurs employeurs que tu as déjà une pratique sérieuse de l'outil, même sans historique de poste officiel en sécu.
Ta société de conseil répond à un appel d'offres pour des tests d'intrusion récurrents. Joindre les badges Burp Suite de tes consultants au dossier technique apporte une crédibilité immédiate sur les compétences de l'équipe, au-delà des certifications OSCP ou CEH qui ne testent pas l'outil spécifiquement.
Quelques minutes pour vérifier que tu as bien tout ce qu'il faut.
À la fin de ta session, tu ne reçois pas juste un score : voici tout ce qui t'attend.
Tu reçois un score numérique de 0 à 100 et un niveau officiel (Novice, Confirmé, Avancé, Expert) basé sur l'analyse IA de ta maîtrise réelle de Burp Suite -- Proxy, Intruder, Scanner, sessions et extensions inclus.
Un rapport structuré détaille tes points forts et tes axes de progression sur chaque dimension testée : gestion des sessions, usage des extensions BApp, maîtrise de l'Intruder, recul critique. Utile pour te préparer à la prochaine mission ou au prochain entretien.
L'enregistrement de ton oral de 15 minutes est conservé de façon sécurisée et accessible uniquement par toi. Tu peux le réécouter pour identifier tes hésitations sur des features spécifiques de Burp et progresser avant une prochaine tentative.
Une page publique vérifiable présente ton badge Burp Suite avec ton score et ton niveau. Tu la colles sur LinkedIn, ton CV, ton profil Malt ou dans un dossier de réponse à appel d'offres. Toute personne qui clique voit une preuve solide, pas une simple case cochée.
Découvre d'autres compétences proches que tu peux faire valider avec Plume.
15 minutes d'oral avec une IA, un badge partageable pour tes recruteurs.
Choisir ce badge · 19,99 €