Як використовувати Burp Suite Decoder

Використовуючи Burp Suite, ви часто можете зустріти дані, які використовують певну форму кодування. Кодування, як правило, призначене для конфігурації даних так, щоб комп’ютерна система могла їх обробляти, на жаль, зазвичай воно унеможливлює або, принаймні, ускладнює читання. У деяких випадках дані можна декодувати назад у форму, зрозумілу людині, але в інших випадках закодовані дані вже були випадковими і не дають зрозумілих результатів. Burp включає в себе інструмент під назвою «Декодер», який допомагає декодувати дані, щоб ви могли бачити, що він говорить, або якщо він не містить даних, які можна читати людиною.

Як розшифрувати дані

Щоб додати дані до декодера, ви можете ввести їх вручну, вставити з буфера обміну або клацнути правою кнопкою миші на вкладках Ціль, Проксі, Зловмисник або Повторювач і натиснути «Надіслати в декодер». Ви можете зробити це з цілими запитами; однак, як правило, буде корисніше обмежити його лише даними, які ви хочете декодувати, виділивши їх перед клацанням правою кнопкою миші.

Клацніть правою кнопкою миші дані, які потрібно декодувати, а потім натисніть «Надіслати в декодер».

Отримавши дані в Decoder, ви можете декодувати їх, натиснувши кнопку «Декодувати як» праворуч і вибравши схему кодування, яку ви думаєте, що вона використовує. Усі параметри працюватимуть для будь-якого введення, але вони можуть не створювати символи для друку, що зазвичай означає, що кодування не використовувалося або дані були згенеровані випадковим чином.

Ви можете вибрати кодування: звичайне, URL, HTML, Base64, ASCII шістнадцятковий, шістнадцятковий, вісімковий, двійковий і Gzip. Виберіть один із них зі спадного списку, і Burp відобразить результат у новому полі нижче. Нова коробка постачається з власним набором ідентичних елементів керування, тож якщо ви виявите, що вихідний результат все ще закодований, ви можете декодувати його знову, навіть якщо тип декодування інший. Наприклад, якщо ви декодуєте рядок Base64 і знаходите інший рядок Base64, ви також можете декодувати його.

Порада. Ви можете об’єднати багато рівнів декодування; ви не обмежені лише одним або двома етапами.

Ви можете декодувати дані, а потім знову декодувати результат, якщо є кілька рівнів кодування.

Як закодувати дані

Ви також можете використовувати декодер для кодування даних усіма доступними методами кодування, натиснувши «Закодувати як» та вибравши метод кодування. Це корисно, якщо вам потрібно розкодувати рядок, змінити його, а потім повторно закодувати, щоб вставити зміну у веб-запит.

Порада: кодування не дуже розумне; наприклад, буквено-цифрові символи не потрібно кодувати в URL-адресах, оскільки вони є дійсними символами, але кодер URL-адрес буде кодувати кожен символ.

Ви також можете створити хеш рядка, натиснувши «Хеш», а потім вибравши алгоритм. Burp не пропонує спосіб повернути хеш назад, оскільки це неможливо, оскільки хеші є односторонніми функціями.

Порада: за допомогою декодера можлива будь-яка комбінація декодування, кодування та хешування, хоча деякі порядки роботи не матимуть логічного сенсу.

Ви також можете використовувати декодер для кодування даних або їх хешування.

Ви можете декодувати, кодувати або хешувати частину рядка в Decoder, виділивши її перед вибором способу обробки. Це корисно, якщо у вас є дві змінні, закодовані різними методами.

Примітка: Декодер не підтримує підвкладки, тому ви можете керувати лише одним входом за раз. Будьте обережні, копіюйте результат процесу, перш ніж надсилати додаткові дані до Decoder, якщо ви не можете їх втратити.