burp攻击模块
1、介绍
intruder入侵模块,实际上是基于不同策略的重复请求,然后测试人员可以结合测试参数,分析响应。
从其他模块,选择请求,右键选择send to intruder,可以将其请求提交到intruder模块进行操作。
2、攻击类型选择和测试文本标记
(1)攻击类型有四种
sniper:狙击手模式,使用一个payload集合,对应一个或多个测试点。每次只使用payload集合中的一个值,替代一个测试点。最终请求数=payload数*测试点数。
battering ram:攻城锤模式,使用一个payload集合,对应一个或多个测试点。每次只使用payload集合中的一个值,替代所有测试点。最终请求数=payload数。
pitchfork:草叉模式,使用多个集合,对应多个测试点,一一对应。每次使用各自payload的一个值替代自身位置。最终请求数=最小的payload集合的payload数
cluster bomb:集束炸弹模式,使用多个集合,对应多个测试点,一一对应。交叉组合测试。最终请求数=各payload的数之积。
(2)标记$
不能使用手动在请求报文中添加或删除,因为需要与普通文本的$区分,通过按钮进行操作,burp程序会判断设置的测试点。
3、 payload设置
(1)simple list
(2)numbers
4、其他设置
(1)测试过程中,没有中断按钮,但是可以直接关闭攻击的弹窗使攻击结束。
(2)url编码
在repearter模块,手动输入,需要人为的预先判断是否进行url编码,如果需要的话要先计算再编辑输入。
而intruder模块,默认开启了对payload的url编码,可以进行设置具体是否需要,以及url编码的字符集合。
(3)并行请求数和延时
(4)错误
(5)重定向
(6)关闭攻击窗口时,会弹窗进行询问
5、响应分析
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 微软正式发布.NET 10 Preview 1:开启下一代开发框架新篇章
· 没有源码,如何修改代码逻辑?
· PowerShell开发游戏 · 打蜜蜂
· 在鹅厂做java开发是什么体验
· WPF到Web的无缝过渡:英雄联盟客户端的OpenSilver迁移实战