Како користити Бурп Суите Интрудер за тестирање потенцијално рањивих веб поља

Када тестирате веб локацију на безбедносне проблеме, једна од главних ствари за које треба да имате отворене очи су интеракције корисника. Корисничка интеракција је свака радња која укључује веб локацију која обрађује облик радње корисника. Ово може бити у ЈаваСцрипт-у на претраживачу корисника или у интеракцији са сервером, као што је ПХП образац. Други извор проблема су варијабле, које не морају директно да произилазе из уноса корисника и уместо тога контролишу други аспект странице.

Интрудер је дизајниран да буде алат за аутоматизацију тестирања било ког потенцијалног извора рањивости. Као и код других уграђених алата као што је Репеатер, захтев који желите да измените Интрудер-у можете послати преко менија десним кликом. Послати захтеви ће тада бити видљиви на картици Уљез.

Напомена: Коришћење Бурп Суите Интрудер на веб локацији за коју немате дозволу може бити кривично дело према разним законима о злоупотреби рачунара и хаковању. Уверите се да имате дозволу власника веб локације пре него што ово покушате.

Како користити Интрудер

Генерално, не морате да конфигуришете подкартицу „Циљ“ на картици Уљез. Ако пошаљете захтев, он аутоматски попуњава вредности које су вам потребне да пошаљете захтев на прави сервер. Било би заиста корисно само ако желите да ручно направите цео захтев или ако желите да покушате да онемогућите ХТТПС.

Картица Циљ се користи за конфигурисање хоста који се напада.

Поткартица „Позиције“ се користи да изаберете где у захтеву желите да убаците корисне податке. Подригивање аутоматски идентификује и истиче што је више могуће варијабли, међутим, вероватно ћете желети да сузите напад на само једну или две тачке уметања у исто време. Да обришете изабране тачке уметања, кликните на „Обриши §“ на десној страни. Да бисте додали тачке уметања, означите област коју желите да промените, а затим кликните на „Додај §“.

Падајући оквир типа напада се користи за одређивање начина на који се корисни терети испоручују. „Снајпер“ користи једну листу носивости и циља сваку тачку уметања једну по једну. „Овен за ударце“ користи једну листу носивости, али умеће носивост у све тачке уметања одједном. Питцхфорк користи више корисних оптерећења, умеће сваки у одговарајућу нумерисану тачку уметања, али увек користи исти унос са сваке листе. „Касетна бомба“ користи сличну стратегију као и виле, али покушава сваку комбинацију

Картица Позиције се користи за одабир места на које ће се убацити корисни терети.

Поткартица „Корисни терети“ се користи за конфигурисање корисних оптерећења која се покушавају. Тип корисног оптерећења се користи за конфигурисање начина на који специфицирате корисна оптерећења. Одељак испод варира у зависности од типа корисног оптерећења, али се увек користи за одређивање вредности листе корисног оптерећења. Обрада корисног оптерећења вам омогућава да модификујете корисне терете док се шаљу. Подразумевано, Интрудер УРЛ кодира низ специјалних знакова, ово можете да онемогућите тако што ћете опозвати поље за потврду на дну странице.

Картица корисних оптерећења се користи за конфигурисање корисних оптерећења која ће бити уметнута у тачке уметања.

Подкартица „Опције“ вам омогућава да конфигуришете бројне позадинске поставке за скенер. Можете додати системе за подударање резултата засноване на греп који су дизајнирани да вам помогну да идентификујете кључне информације из значајних резултата. Подразумевано, Интрудер не прати преусмеравања, ово се може омогућити на дну подкартице.

Картица Опције вам омогућава да конфигуришете неке додатне позадинске опције, али се генерално може оставити на миру.

Да бисте покренули напад, кликните на „Започни напад“ у горњем десном углу било које подкартице „Уљез“, напад ће се покренути у новом прозору. За бесплатно „Цоммунити“ издање Бурп-а, Интрудер је јако ограничен на брзину, док професионална верзија ради пуном брзином.