Pokud testujete web s Burp Suite, existuje mnoho změn, které můžete provést ve svých požadavcích a na webových stránkách, které vidíte. Můžete nakonfigurovat řadu automatických změn, které mají být provedeny v odpovědích, které obdržíte. Možnosti lze nalézt v části „Změna odpovědi“ na podzáložce „Možnosti“ na kartě „Proxy“. Všechny úpravy automatických odpovědí jsou navrženy tak, aby byly užitečné pro lidi, kteří testují webové stránky.
Poznámka: Burp Suite má legitimní použití jako bezpečnostní nástroj. Než to zkusíte, musíte se ujistit, že máte povolení od vlastníka webu k testování webu cokoliv, protože byste mohli porušit zákon, pokud to neuděláte, i když používáte pouze svůj vlastní účet na a webová stránka.
První možnost je „Odkrýt skrytá pole formuláře“ a přichází s podmožností „Výrazně zvýraznit neskrytá pole formuláře“. Skrytá pole formuláře obecně obsahují předem nakonfigurovanou datovou hodnotu, jako je ID uživatele. Tato data je třeba odeslat s požadavkem, ale uživatel je nemusí vidět ani upravovat. Odkrytím polí můžete snadněji vidět, co se stane, když upravíte jejich hodnoty, tyto možnosti automatizují proces, takže skrytá pole formuláře můžete snadno najít.
„Povolit zakázaná pole formuláře“ automaticky povolí všechna pole formuláře, která byla deaktivována, aby uživatel nemohl upravovat jejich hodnoty. „Odstranit limity délky vstupního pole“ odstraňuje veškerá omezení týkající se počtu znaků, které lze odeslat prostřednictvím pole formuláře. To může způsobit neočekávané chování na webech, které očekávají pouze určitou délku vstupu.
„Odstranit ověření formuláře JavaScriptu“ odstraní jakýkoli JavaScript, který ověřuje data formuláře při jejich odesílání, což umožňuje odesílání neplatných dat. „Odstranit veškerý JavaScript“ odstraní veškerý JavaScript z webové stránky. Tato možnost je určena k deaktivaci logiky na straně klienta. "Odstranit
„Převést odkazy HTTPS na HTTP“ automaticky sníží šifrované odkazy na odkazy v prostém textu. To může být užitečné pro testování útoků typu SSLStrip a ověření, že web upgraduje požadavky na prostý text. „Odstranit zabezpečený příznak ze souborů cookie“ automaticky odstraní příznak zabezpečení ze souborů cookie, který brání jejich přenosu prostřednictvím připojení ve formátu prostého textu. To by mohlo pomoci s únikem ověřovacích tokenů a dalších citlivých souborů cookie při provádění útoků typu SSLStrip.
Sekce „Match and Replace“ těsně pod sekcí „Response treatment“ umožňuje konfigurovat vlastní pravidla pro požadavky i odpovědi pomocí Regex. Můžete nahradit záhlaví nebo tělo požadavku i odpovědi, názvy a hodnoty parametrů a první řádek požadavku.
