Kaip automatiškai pakeisti duomenis žiniatinklio atsakyme naudojant „Burp Suite“.

Jei bandote svetainę naudodami „Burp Suite“, galite atlikti daug pakeitimų savo užklausose ir matomuose tinklalapiuose. Galite sukonfigūruoti daugybę automatinių pakeitimų, kurie bus atlikti gaunamuose atsakymuose. Parinktis rasite skirtuko „Įgaliotinis serveris“ antrinio skirtuko „Parinktys“ skiltyje „Atsakymo keitimas“. Visos automatinio atsako modifikacijos sukurtos taip, kad būtų naudingos svetaines bandantiems žmonėms.

Pastaba: „Burp Suite“ yra teisėtai naudojamas kaip saugos įrankis. Tačiau prieš ką nors darydami turite įsitikinti, kad turite svetainės savininko leidimą išbandyti svetainę, nes jei to nepadarysite, galite pažeisti įstatymą, net jei svetainėje naudojate tik savo paskyrą.

Automatinio modifikavimo parinktis rasite skirtuko „Įgaliotinis serveris“ antrinio skirtuko „Parinktys“ skiltyje „Atsakymo keitimas“.

Pirmoji parinktis yra „Rodyti paslėptus formos laukus“ ir pateikiama su antrine parinktimi „Aiškiai paryškinti nepaslėptus formos laukus“. Paslėptuose formos laukuose paprastai yra iš anksto sukonfigūruota duomenų reikšmė, pvz., vartotojo ID. Šiuos duomenis reikia pateikti kartu su užklausa, tačiau vartotojui nereikia jų matyti ar redaguoti. Atskleidę laukus galėsite lengviau matyti, kas atsitiks, jei redaguosite jų reikšmes. Šios parinktys automatizuoja procesą, kad galėtumėte lengvai rasti paslėptus formos laukus.

„Įgalinti išjungtus formos laukus“ automatiškai įjungia visus formos laukus, kurie buvo išjungti, kad vartotojas negalėtų redaguoti savo verčių. „Pašalinti įvesties lauko ilgio apribojimus“ pašalinami visi apribojimai, kiek simbolių galima pateikti formos lauke. Tai gali sukelti netikėtą elgesį svetainėse, kuriose tikimasi tik tam tikro ilgio įvesties.

„Pašalinti „JavaScript“ formos patvirtinimą“ ištrina bet kokią „JavaScript“, kuri patvirtina formos duomenis, kai jie pateikiami, ir leidžia pateikti netinkamus duomenis. „Pašalinti visą JavaScript“ ištrina visą JavaScript iš tinklalapio. Ši parinktis skirta išjungti kliento pusės logiką. „Removetags“ ištrina išorinių išteklių konteinerius, pvz., „JavaScript“ pašalinimą. Taip pat siekiama išjungti kliento logiką.

„Konvertuoti HTTPS nuorodas į HTTP“ automatiškai sumažina šifruotų nuorodų versiją į paprasto teksto nuorodas. Tai gali būti naudinga tikrinant SSLStrip tipo atakas ir tikrinant, ar svetainė atnaujina paprasto teksto užklausas. „Pašalinti saugią žymą iš slapukų“ automatiškai pašalina saugią žymą iš slapukų, neleidžiančių jiems perduoti paprasto teksto ryšiais. Tai gali padėti nutekėti autentifikavimo prieigos raktams ir kitiems jautriems slapukams, kai vykdomos SSLStrip tipo atakos.

Skiltyje „Atitikti ir pakeisti“, esančioje tiesiai po skyriumi „Atsakymo keitimas“, galite konfigūruoti tinkintas užklausų ir atsakymų taisykles naudojant „Regex“. Galite pakeisti užklausos ir atsakymo antraštes arba turinį, parametrų pavadinimus ir reikšmes bei pirmąją užklausos eilutę.

Galite sukonfigūruoti tinkintus automatinius keitimus naudodami skirtuko „Įgaliotinis serveris“ antrinio skirtuko „Parinktys“ skiltį „Suderinti ir pakeisti“.