Hvernig á að nota Burp Suite Intruder til að prófa hugsanlega viðkvæma vefsvæði

Þegar þú prófar vefsíðu með tilliti til öryggisvandamála er eitt af því helsta sem þarf að hafa augun opin fyrir samskipti notenda. Notendaviðskipti eru sérhver aðgerð sem felur í sér að vefsíðan vinnur úr eins konar aðgerðum notenda. Þetta getur verið annað hvort í JavaScript í vafra notandans eða í samskiptum við netþjóninn, eins og með PHP eyðublaði. Önnur uppspretta vandamála eru breytur, þær þurfa ekki að stafa beint af notandainntaki og í staðinn stjórna öðrum þætti síðunnar.

Intruder er hannað til að vera tæki til að gera sjálfvirkan prófun á hugsanlegum varnarleysi. Eins og með önnur innbyggð verkfæri eins og Repeater geturðu sent beiðni sem þú vilt breyta til Intruder með hægrismelltu valmyndinni. Sendu beiðnirnar verða síðan sýnilegar á Intruder flipanum.

Athugið: Að nota Burp Suite Intruder á vefsíðu sem þú hefur ekki leyfi fyrir gæti verið refsivert samkvæmt ýmsum lögum um tölvumisnotkun og tölvuþrjót. Gakktu úr skugga um að þú hafir leyfi frá eiganda vefsíðunnar áður en þú reynir þetta.

Hvernig á að nota Intruder

Þú þarft almennt ekki að stilla „Target“ undirflipann á Intruder flipanum. Ef þú sendir beiðni fyllir hún sjálfkrafa inn þau gildi sem þú þarft til að senda beiðnina á réttan netþjón. Það væri aðeins gagnlegt ef þú vilt annað hvort búa til alla beiðnina handvirkt eða ef þú vilt prófa að slökkva á HTTPS.

Target flipinn er notaður til að stilla hýsilinn sem ráðist er á.

„Staðsetningar“ undirflipi er notaður til að velja hvar í beiðninni þú vilt setja inn farmálag. Burp auðkennir og undirstrikar sjálfkrafa eins margar breytur og mögulegt er, en þú munt líklega vilja þrengja árásina niður í aðeins einn eða tvo innsetningarpunkta í einu. Til að hreinsa valda innsetningarpunkta, smelltu á „Hreinsa §“ hægra megin. Til að bæta við innsetningarpunktum skaltu auðkenna svæðið sem þú vilt breyta og smelltu síðan á „Bæta vi𠧓.

Árásartegund fellilistann er notaður til að ákvarða hvernig hleðsla er afhent. „Sniper“ notar einn hleðslulista og miðar á hvern innsetningarpunkt á fætur öðrum. „Battering ram“ notar einn hleðslulista en setur hleðsluna í alla innsetningarpunkta í einu. Pitchfork notar marga hleðslu, setur hvern og einn inn í sitt númeraða innsetningarpunkt en notar alltaf sama númeraða færsluna af hverjum lista. „Klasasprengja“ notar svipaða stefnu og pitchfork en reynir allar samsetningar

Stöður flipinn er notaður til að velja hvar hleðslur verða settar inn.

Undirflipi „Haðsala“ er notaður til að stilla hleðsluna sem reynt er að gera. Tegund farms er notuð til að stilla hvernig þú tilgreinir farms. Hlutinn hér að neðan er breytilegur eftir tegund farms en er alltaf notaður til að tilgreina farmalista gildi. Vinnsla farms gerir þér kleift að breyta farmi þegar verið er að senda inn. Sjálfgefið er að Intruder URL umritar fjölda sértákna, þú getur slökkt á þessu með því að haka í gátreitinn neðst á síðunni.

Hleðsluflipi er notaður til að stilla hleðsluna sem á að setja inn í innsetningarpunktana.

„Valkostir“ undirflipi gerir þér kleift að stilla fjölda bakgrunnsstillinga fyrir skannann. Þú getur bætt við grep-tengdum niðurstöðusamsvörunarkerfum sem eru hönnuð til að hjálpa þér að bera kennsl á lykilupplýsingar úr þýðingarmiklum niðurstöðum. Sjálfgefið er að Intruder fylgir ekki tilvísunum, þetta er hægt að virkja neðst á undirflipanum.

Valkostir flipinn gerir þér kleift að stilla nokkra auka bakgrunnsvalkosti en þú getur almennt látið vera í friði.

Til að hefja árásina, smelltu á „Start árás“ efst í hægra horninu á einhverjum af „Intruder“ undirflipanum, árásin mun hefjast í nýjum glugga. Fyrir ókeypis „Community“ útgáfuna af Burp er Intruder mjög takmörkuð á hraða en Professional útgáfan keyrir á fullum hraða.