วิธีใช้ตัวถอดรหัส Burp Suite

เมื่อใช้ Burp Suite คุณมักจะพบข้อมูลที่ใช้การเข้ารหัสบางรูปแบบ โดยทั่วไปการเข้ารหัสได้รับการออกแบบเพื่อกำหนดค่าข้อมูลเพื่อให้ระบบคอมพิวเตอร์สามารถจัดการได้ แต่โดยทั่วไปแล้วจะทำให้เป็นไปไม่ได้หรืออย่างน้อยก็ยากที่จะอ่าน ในบางกรณี ข้อมูลสามารถถอดรหัสกลับไปเป็นรูปแบบที่มนุษย์อ่านได้ แต่ในบางกรณี ข้อมูลที่เข้ารหัสนั้นสุ่มไว้แล้วและจะไม่ให้ผลลัพธ์ที่เข้าใจได้ เรอมีเครื่องมือที่เรียกว่า “ตัวถอดรหัส” เพื่อช่วยถอดรหัสข้อมูล เพื่อให้คุณเห็นว่าข้อมูลนั้นพูดอะไร หรือไม่มีข้อมูลที่มนุษย์อ่านได้

วิธีถอดรหัสข้อมูล

หากต้องการเพิ่มข้อมูลลงในตัวถอดรหัส คุณสามารถพิมพ์ข้อมูลด้วยตนเอง วางจากคลิปบอร์ด หรือคลิกขวาที่ข้อมูลในแท็บ Target, Proxy, Intruder หรือ Repeater แล้วคลิก "Send to Decoder" คุณสามารถทำได้กับคำขอทั้งหมด อย่างไรก็ตาม โดยทั่วไปจะมีประโยชน์มากกว่าหากจำกัดไว้เฉพาะข้อมูลที่คุณต้องการถอดรหัสโดยไฮไลต์ก่อนคลิกขวา

คลิกขวาที่ข้อมูลที่คุณต้องการถอดรหัส จากนั้นคลิก "ส่งไปยังตัวถอดรหัส"

เมื่อคุณมีข้อมูลใน Decoder แล้ว คุณสามารถถอดรหัสได้โดยคลิกปุ่ม "ถอดรหัสเป็น" ทางด้านขวาและเลือกรูปแบบการเข้ารหัสที่คุณคิดว่าใช้อยู่ ตัวเลือกทั้งหมดจะใช้ได้กับอินพุตใดๆ แต่อาจไม่สร้างอักขระที่พิมพ์ได้ ซึ่งโดยทั่วไปหมายความว่าไม่ได้ใช้การเข้ารหัสนั้น หรือข้อมูลถูกสร้างขึ้นแบบสุ่ม

การเข้ารหัสที่คุณสามารถเลือกได้ ได้แก่ Plain, URL, HTML, Base64, ASCII hex, Hex, Octal, Binary และ Gzip เลือกหนึ่งในรายการเหล่านี้จากกล่องดรอปดาวน์และเรอจะแสดงผลลัพธ์ในกล่องใหม่ด้านล่าง กล่องใหม่นี้มาพร้อมกับชุดการควบคุมที่เหมือนกัน ดังนั้นหากคุณพบว่าเอาต์พุตยังคงเข้ารหัสอยู่ คุณสามารถถอดรหัสได้อีกครั้ง แม้ว่าประเภทการถอดรหัสจะต่างกัน ตัวอย่างเช่น หากคุณถอดรหัสสตริง Base64 และค้นหาสตริง Base64 อื่น คุณก็ถอดรหัสได้เช่นกัน

เคล็ดลับ: คุณสามารถเชื่อมโยงการถอดรหัสหลายระดับเข้าด้วยกัน คุณไม่ได้จำกัดแค่หนึ่งหรือสองขั้นตอน

คุณสามารถถอดรหัสข้อมูล จากนั้นถอดรหัสผลลัพธ์อีกครั้ง หากมีการเข้ารหัสหลายระดับ

วิธีเข้ารหัสข้อมูล

คุณยังสามารถใช้ตัวถอดรหัสเพื่อเข้ารหัสข้อมูลในวิธีการเข้ารหัสที่มีอยู่ทั้งหมดได้โดยคลิก “เข้ารหัสเป็น” และเลือกวิธีการเข้ารหัส สิ่งนี้มีประโยชน์หากคุณต้องการถอดรหัสสตริง แก้ไข จากนั้นจำเป็นต้องเข้ารหัสใหม่เพื่อแทรกการเปลี่ยนแปลงลงในคำขอทางเว็บ

เคล็ดลับ: การเข้ารหัสไม่ฉลาดเป็นพิเศษ ตัวอย่างเช่น ไม่จำเป็นต้องเข้ารหัสอักขระที่เป็นตัวอักษรและตัวเลขคละกันใน URL เนื่องจากเป็นอักขระที่ถูกต้อง แต่ตัวเข้ารหัส URL จะเข้ารหัสทุกอักขระ

คุณยังสามารถสร้างแฮชของสตริงได้โดยคลิกที่ "แฮช" จากนั้นเลือกอัลกอริทึม เรอไม่ได้เสนอวิธีการย้อนกลับแฮช เนื่องจากเป็นไปไม่ได้เนื่องจากแฮชเป็นฟังก์ชันทางเดียว

เคล็ดลับ: การถอดรหัส การเข้ารหัส และการแฮชร่วมกันสามารถทำได้ด้วยตัวถอดรหัส แม้ว่าคำสั่งของการดำเนินการบางอย่างจะไม่สมเหตุสมผลก็ตาม

คุณยังสามารถใช้ตัวถอดรหัสเพื่อเข้ารหัสข้อมูลหรือแฮชข้อมูลได้

คุณสามารถถอดรหัส เข้ารหัส หรือแฮชส่วนของสตริงใน Decoder ได้โดยไฮไลต์ก่อนเลือกวิธีจัดการ สิ่งนี้มีประโยชน์หากคุณมีตัวแปรสองตัวที่เข้ารหัสด้วยวิธีการที่ต่างกัน

หมายเหตุ: ตัวถอดรหัสไม่รองรับแท็บย่อย ดังนั้นคุณจึงสามารถจัดการอินพุตได้ครั้งละหนึ่งรายการเท่านั้น โปรดใช้ความระมัดระวังในการคัดลอกผลลัพธ์ของกระบวนการก่อนที่จะส่งข้อมูลเพิ่มเติมไปยังตัวถอดรหัส เว้นแต่คุณจะยอมทำหาย