摘要:主要有四個(gè)模塊組成用于配置目標(biāo)服務(wù)器進(jìn)行攻擊的詳細(xì)信息�����。選項(xiàng)設(shè)置攻擊結(jié)果的顯示。選項(xiàng)重定向響應(yīng)����,控制在進(jìn)行攻擊時(shí)如何處理重定向。
????burpsuite intruder 模塊它的工作原理是:Intruder在原始請(qǐng)求數(shù)據(jù)的基礎(chǔ)上�����,通過(guò)修改各種請(qǐng)求參數(shù)�,以獲取不同的請(qǐng)求應(yīng)答。每一次請(qǐng)求中���,Intruder通常會(huì)攜帶一個(gè)或多個(gè)有效攻擊載荷(Payload),在不同的位置進(jìn)行攻擊重放�,通過(guò)應(yīng)答數(shù)據(jù)的比對(duì)分析來(lái)獲得需要的特征數(shù)據(jù)�����。Burp Intruder通常被使用在以下場(chǎng)景:
1.標(biāo)識(shí)符枚舉 Web應(yīng)用程序經(jīng)常使用標(biāo)識(shí)符來(lái)引用用戶(hù)���、賬戶(hù)��、資產(chǎn)等數(shù)據(jù)信息。例如���,用戶(hù)名��,文件ID和賬戶(hù)號(hào)碼��。
2.提取有用的數(shù)據(jù) 在某些場(chǎng)景下�����,而不是簡(jiǎn)單地識(shí)別有效標(biāo)識(shí)符��,你需要通過(guò)簡(jiǎn)單標(biāo)識(shí)符提取一些其他的數(shù)據(jù)���。比如說(shuō)��,你想通過(guò)用戶(hù)的個(gè)人空間id�����,獲取所有用戶(hù)在個(gè)人空間標(biāo)準(zhǔn)的昵稱(chēng)和年齡���。
3.模糊測(cè)試 很多輸入型的漏洞,如SQL注入��,跨站點(diǎn)腳本和文件路徑遍歷可以通過(guò)請(qǐng)求參數(shù)提交各種測(cè)試字符串����,并分析錯(cuò)誤消息和其他異常情況��,來(lái)對(duì)應(yīng)用程序進(jìn)行檢測(cè)���。由于的應(yīng)用程序的大小和復(fù)雜性,手動(dòng)執(zhí)行這個(gè)測(cè)試是一個(gè)耗時(shí)且繁瑣的過(guò)程��。這樣的場(chǎng)景�����,您可以設(shè)置Payload���,通過(guò)Burp Intruder自動(dòng)化地對(duì)Web應(yīng)用程序進(jìn)行模糊測(cè)試����。
??Burp Intruder主要有四個(gè)模塊組成:
1:Target 用于配置目標(biāo)服務(wù)器進(jìn)行攻擊的詳細(xì)信息�����。
2:Positions 設(shè)置Payloads的插入點(diǎn)以及攻擊類(lèi)型(攻擊模式)����。
3:Payloads 設(shè)置payload�,配置字典
4:Opetions 此選項(xiàng)卡包含了request headers��,request engine��,attack results ���,grep match,grep_extrack�����,grep payloads和redirections���。你可以發(fā)動(dòng)攻擊之前����,在主要Intruder的UI上編輯這些選項(xiàng)�����,大部分設(shè)置也可以在攻擊時(shí)對(duì)已在運(yùn)行的窗口進(jìn)行修改���。
選項(xiàng)1:Request Headers 這些設(shè)置控制在Intruder是否更新配置請(qǐng)求頭�����。
選項(xiàng)2:Request Engine 設(shè)置發(fā)送請(qǐng)求的線(xiàn)程���、超時(shí)重試等�。
選項(xiàng)3:Attack Results 設(shè)置攻擊結(jié)果的顯示����。
選項(xiàng)4:Grep - Match 在響應(yīng)中找出存在指定的內(nèi)容的一項(xiàng)。
選項(xiàng)5:Grep - Extract 通過(guò)正則提取返回信息中的內(nèi)容�。
選項(xiàng)6:Grep - Payloads 這些設(shè)置可以用于包含已提交的有效負(fù)載的反射的標(biāo)志結(jié)果項(xiàng)目。如果啟用了此選項(xiàng)�����,BurpSuite會(huì)添加包含一個(gè)復(fù)選框指示當(dāng)前負(fù)載的值在每個(gè)響應(yīng)發(fā)現(xiàn)新的結(jié)果列�。
選項(xiàng)7:Redirections 重定向響應(yīng),控制Burp在進(jìn)行攻擊時(shí)如何處理重定向�����。
文章版權(quán)歸作者所有�,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/67664.html
