كيفية استبدال البيانات تلقائيًا في استجابة الويب باستخدام Burp Suite

منوعاتDec 19, 2021
click fraud protection

إذا كنت تختبر موقعًا إلكترونيًا باستخدام Burp Suite ، فهناك العديد من التغييرات التي يمكنك إجراؤها على طلباتك وصفحات الويب التي تراها. يمكنك تكوين عدد من التغييرات التلقائية التي يجب إجراؤها على الردود التي تتلقاها. يمكن العثور على الخيارات في قسم "تعديل الاستجابة" من علامة التبويب الفرعية "خيارات" من علامة التبويب "الوكيل". تم تصميم جميع تعديلات الاستجابة التلقائية لتكون مفيدة للأشخاص الذين يختبرون مواقع الويب.

ملاحظة: برنامج Burp Suite له استخدامات مشروعة ، كأداة أمنية. تحتاج إلى التأكد من حصولك على إذن من مالك موقع الويب لاختبار موقع الويب قبل محاولة القيام بذلك على الرغم من أي شيء ، حيث يمكن أن تخالف القانون إذا لم تقم بذلك ، حتى إذا كنت تستخدم حسابك الخاص فقط في ملف موقع الكتروني.

يمكن العثور على خيارات التعديل التلقائي في قسم "تعديل الاستجابة" من علامة التبويب الفرعية "خيارات" من علامة التبويب "الوكيل".

الخيار الأول هو "إظهار حقول النموذج المخفية" ويأتي مع الخيار الفرعي "إبراز حقول النموذج غير المخفية بشكل بارز". تحتوي حقول النموذج المخفية بشكل عام على قيمة بيانات مكونة مسبقًا ، مثل معرف المستخدم. يجب إرسال هذه البيانات مع الطلب ، لكن لا يحتاج المستخدم إلى مشاهدتها أو تعديلها. من خلال إظهار الحقول ، يمكنك بسهولة رؤية ما يحدث إذا قمت بتحرير قيمها ، فهذه الخيارات تعمل على أتمتة العملية بحيث يمكنك بسهولة العثور على حقول النموذج المخفية.

يقوم "تمكين حقول النموذج المعطلة" تلقائيًا بتمكين أي حقول نموذج تم تعطيلها لمنع المستخدم من تحرير قيمها. يزيل "إزالة حدود طول حقل الإدخال" أي قيود على عدد الأحرف التي يمكن إرسالها عبر حقل النموذج. قد يتسبب هذا في سلوك غير متوقع في مواقع الويب التي تتوقع فقط طولًا معينًا من المدخلات.

"إزالة التحقق من صحة نموذج جافا سكريبت" يحذف أي جافا سكريبت تتحقق من صحة بيانات النموذج أثناء إرسالها ، مما يسمح بإرسال البيانات غير الصالحة. "إزالة كل JavaScript" يحذف كل JavaScript من صفحة الويب. يهدف هذا الخيار إلى تعطيل منطق جانب العميل. "يزيل العلامات "حاويات الموارد الخارجية ، مثل إزالة JavaScript ، ويهدف هذا أيضًا إلى تعطيل المنطق من جانب العميل.

يعمل "تحويل روابط HTTPS إلى HTTP" تلقائيًا على تقليل الروابط المشفرة إلى الروابط ذات النص العادي. يمكن أن يكون هذا مفيدًا لاختبار هجمات SSLStrip والتحقق من قيام موقع الويب بترقية طلبات النص العادي. يقوم "إزالة العلامة الآمنة من ملفات تعريف الارتباط" تلقائيًا بإزالة العلامة الآمنة من ملفات تعريف الارتباط التي تمنع نقلها عبر اتصالات النص العادي. يمكن أن يساعد ذلك في تسريب رموز المصادقة المميزة وملفات تعريف الارتباط الحساسة الأخرى عند تنفيذ هجمات من نوع SSLStrip.

يسمح لك قسم "المطابقة والاستبدال" ، الموجود أسفل قسم "تعديل الاستجابة" مباشرةً ، بتهيئة القواعد المخصصة لكل من الطلبات والاستجابات باستخدام Regex. يمكنك استبدال رؤوس أو نص كل من الطلب والاستجابة ، وأسماء وقيم المعلمات ، والسطر الأول من الطلب.

يمكنك تكوين بدائل تلقائية مخصصة من خلال قسم "المطابقة والاستبدال" في علامة التبويب الفرعية "الخيارات" في علامة التبويب "الوكيل".