Jak używać narzędzia Burp Suite Intruder do testowania potencjalnie podatnych na ataki pól internetowych?

Podczas testowania witryny pod kątem problemów z bezpieczeństwem jedną z głównych rzeczy, na które należy mieć oczy otwarte, są interakcje użytkowników. Interakcja użytkownika to każda czynność, która polega na przetwarzaniu przez witrynę formy działania użytkownika. Może to być JavaScript w przeglądarce użytkownika lub interakcje z serwerem, takie jak formularz PHP. Innym źródłem problemów są zmienne, które nie muszą wynikać bezpośrednio z danych wejściowych użytkownika, a zamiast tego kontrolują inny aspekt strony.

Intruder został zaprojektowany jako narzędzie do automatyzacji testowania każdego potencjalnego źródła podatności. Podobnie jak w przypadku innych wbudowanych narzędzi, takich jak Repeater, możesz wysłać żądanie, które chcesz edytować, do programu Intruder za pomocą menu prawego przycisku myszy. Wysłane żądania będą wtedy widoczne w zakładce Intruz.

Uwaga: Korzystanie z Burp Suite Intruder na stronie internetowej, do której nie masz uprawnień, może być przestępstwem kryminalnym w związku z różnymi przepisami dotyczącymi niewłaściwego użytkowania komputera i hakowania. Zanim spróbujesz, upewnij się, że masz pozwolenie od właściciela witryny.

Jak korzystać z Intruza

Generalnie nie musisz konfigurować podzakładki „Cel” w zakładce Intruz. Jeśli wyślesz żądanie, automatycznie wypełni ono wartości potrzebne do wysłania żądania do właściwego serwera. Byłoby to naprawdę przydatne tylko wtedy, gdy chcesz ręcznie wykonać całe żądanie lub jeśli chcesz spróbować wyłączyć HTTPS.

Jak używać narzędzia Burp Suite Intruder do testowania potencjalnie podatnych na ataki pól internetowych?

Zakładka Cel służy do konfigurowania atakowanego hosta.

Podkarta „Pozycje” służy do wyboru miejsca w żądaniu, w którym chcesz wstawić ładunki. Burp automatycznie identyfikuje i podświetla jak najwięcej zmiennych, jednak prawdopodobnie będziesz chciał zawęzić atak do tylko jednego lub dwóch punktów wstawiania na raz. Aby wyczyścić wybrane punkty wstawiania, kliknij „Wyczyść §” po prawej stronie. Aby dodać punkty wstawiania, zaznacz obszar, który chcesz zmienić, a następnie kliknij „Dodaj §”.

Pole rozwijane typu ataku służy do określania sposobu dostarczania ładunków. „Snajper” używa pojedynczej listy ładunku i celuje w każdy punkt wstawiania jeden po drugim. „Taran” wykorzystuje pojedynczą listę ładunku, ale wstawia go do wszystkich punktów wstawiania jednocześnie. Pitchfork używa wielu ładunków, wstawia każdy z nich do odpowiednio ponumerowanego punktu wstawiania, ale zawsze używa tylko tego samego ponumerowanego wpisu z każdej listy. „Bomba kasetowa” używa podobnej strategii jak widły, ale próbuje każdej kombinacji

Jak używać narzędzia Burp Suite Intruder do testowania potencjalnie podatnych na ataki pól internetowych?

Zakładka Pozycje służy do wyboru miejsca wstawiania ładunków.

Karta podrzędna „Ładunki” służy do konfigurowania próbowanych ładunków. Typ ładunku służy do konfigurowania sposobu określania ładunku. Poniższa sekcja różni się w zależności od typu ładunku, ale jest zawsze używana do określania wartości listy ładunku. Przetwarzanie ładunku pozwala modyfikować ładunki podczas ich przesyłania. Domyślnie Intruder URL koduje wiele znaków specjalnych, możesz to wyłączyć, odznaczając pole wyboru na dole strony.

Jak używać narzędzia Burp Suite Intruder do testowania potencjalnie podatnych na ataki pól internetowych?

Karta Ładunki służy do konfigurowania ładunków, które mają być wstawiane do punktów wstawiania.

Podzakładka „Opcje” umożliwia skonfigurowanie wielu ustawień tła skanera. Możesz dodać oparte na grep systemy dopasowywania wyników zaprojektowane, aby pomóc Ci zidentyfikować kluczowe informacje na podstawie znaczących wyników. Domyślnie Intruder nie podąża za przekierowaniami, można to włączyć na dole zakładki.

Jak używać narzędzia Burp Suite Intruder do testowania potencjalnie podatnych na ataki pól internetowych?

Karta Opcje pozwala skonfigurować dodatkowe opcje tła, ale generalnie można ją pozostawić w spokoju.

Aby rozpocząć atak, kliknij „Rozpocznij atak” w prawym górnym rogu dowolnej zakładki „Intruz”, atak rozpocznie się w nowym oknie. W bezpłatnej edycji Burp „Community” Intruder jest mocno ograniczony, podczas gdy wersja Professional działa z pełną prędkością.



Leave a Comment

iTunes: „Nie można odczytać pliku „iTunes Library.itl”” Poprawka

iTunes: „Nie można odczytać pliku „iTunes Library.itl”” Poprawka

Jak rozwiązać problem z Apple iTunes, gdzie błąd Nie można odczytać pliku iTunes Library.itl, ponieważ został utworzony przez nowszą wersję iTunes. pojawia się po uruchomieniu aplikacji.

Discord Error 1006: co to oznacza i jak to naprawić

Discord Error 1006: co to oznacza i jak to naprawić

Błąd Discord 1006 wskazuje, że Twoje IP zostało zablokowane w korzystaniu ze strony Discord. Dowiedz się, jak to naprawić.

Microsoft Teams: udostępniaj dźwięk z komputera podczas spotkania

Microsoft Teams: udostępniaj dźwięk z komputera podczas spotkania

Microsoft Teams ma funkcję udostępniania ekranu i tryb prezentacji na spotkania. Udostępniaj dźwięk z komputera w Microsoft Teams, aby poprawić jakość komunikacji.

Rozwiązywanie problemów z błędem synchronizacji programu OneNote 0xE40200B4

Rozwiązywanie problemów z błędem synchronizacji programu OneNote 0xE40200B4

Rozwiązywanie problemów z błędem synchronizacji programu OneNote 0xE40200B4. Wykonaj kroki rozwiązywania problemów wymienione w tym przewodniku, aby przywrócić synchronizację.

Mapy Google: dowiedz się, jak skalibrować kompas

Mapy Google: dowiedz się, jak skalibrować kompas

Jeśli Twoja lokalizacja na żywo często się zacina podczas nawigacji w Mapach Google, naprawdę musisz skalibrować kompas. Przeczytaj nasz przewodnik, aby dowiedzieć się, jak to zrobić krok po kroku!

NAPRAW: Kod błędu Microsoft Teams 4c7 (krótki przewodnik)

NAPRAW: Kod błędu Microsoft Teams 4c7 (krótki przewodnik)

Dowiedz się, jak naprawić błąd 4c7 w Microsoft Teams. Przewodnik krok po kroku dla administratorów IT.

Microsoft Teams: jak znaleźć ukryte czaty

Microsoft Teams: jak znaleźć ukryte czaty

Aby znaleźć ukryte czaty Microsoft Teams, wyszukaj nazwisko uczestnika czatu, wybierz tę nazwę, a stary czat będzie ponownie widoczny.

Napraw Mapy Google, które nie mówią ani nie podają wskazówek

Napraw Mapy Google, które nie mówią ani nie podają wskazówek

Co się stanie, jeśli wskazówki głosowe nie działają w Mapach Google? W tym przewodniku dobrze pokażę, jak możesz rozwiązać problem.

Rozwiązywanie problemów z przeglądarką Opera nie ładuje stron

Rozwiązywanie problemów z przeglądarką Opera nie ładuje stron

Jeśli Opera nie wczytuje niektórych stron lub nie działa prawidłowo, oto, co powinieneś zrobić, aby rozwiązać te problemy i poprawić działanie przeglądarki.

Jak oszczędzać dane mobilne podczas słuchania Spotify

Jak oszczędzać dane mobilne podczas słuchania Spotify

Dowiedz się, jak zmniejszyć zużycie danych mobilnych podczas korzystania ze Spotify do słuchania muzyki.