Wenn Sie eine Website mit Burp Suite testen, können Sie viele Änderungen an Ihren Anforderungen und den angezeigten Webseiten vornehmen. Sie können eine Reihe von automatischen Änderungen konfigurieren, die an den erhaltenen Antworten vorgenommen werden. Die Optionen finden Sie im Abschnitt „Antwortänderung“ des Unterreiters „Optionen“ des Reiters „Proxy“. Alle automatischen Antwortänderungen sind so konzipiert, dass sie für Personen nützlich sind, die Websites testen.
Hinweis: Burp Suite hat legitime Verwendungszwecke als Sicherheitstool. Sie müssen sicherstellen, dass Sie die Erlaubnis des Eigentümers einer Website haben, die Website zu testen, bevor Sie dies versuchen aber alles, da Sie sonst gegen das Gesetz verstoßen könnten, selbst wenn Sie nur Ihr eigenes Konto auf a. verwenden Webseite.
Die erste Option ist „Ausgeblendete Formularfelder einblenden“ und kommt mit der Unteroption „Nicht ausgeblendete Formularfelder deutlich hervorheben“. Ausgeblendete Formularfelder enthalten im Allgemeinen einen vorkonfigurierten Datenwert, beispielsweise eine Benutzer-ID. Diese Daten müssen mit der Anfrage übermittelt werden, der Benutzer muss sie jedoch nicht sehen oder bearbeiten. Durch das Einblenden der Felder können Sie leichter sehen, was passiert, wenn Sie ihre Werte bearbeiten. Diese Optionen automatisieren den Vorgang, sodass Sie die ausgeblendeten Formularfelder leicht finden können.
„Deaktivierte Formularfelder aktivieren“ aktiviert automatisch alle Formularfelder, die deaktiviert wurden, um zu verhindern, dass der Benutzer ihre Werte bearbeitet. „Längenbeschränkungen für Eingabefelder entfernen“ hebt alle Beschränkungen auf, wie viele Zeichen über ein Formularfeld übermittelt werden können. Dies kann bei Websites, die nur eine bestimmte Länge von Eingaben erwarten, zu unerwartetem Verhalten führen.
„JavaScript-Formularvalidierung entfernen“ löscht jegliches JavaScript, das Formulardaten beim Senden validiert, und lässt ungültige Datenübermittlungen zu. „Alles JavaScript entfernen“ löscht alle JavaScripts von der Webseite. Diese Option soll die clientseitige Logik deaktivieren. "Entfernen
„HTTPS-Links in HTTP konvertieren“ stuft verschlüsselte Links automatisch auf Klartext-Links herab. Dies kann nützlich sein, um Angriffe vom Typ SSLStrip zu testen und zu überprüfen, ob die Website Klartextanforderungen aktualisiert. „Sicherheitskennzeichen von Cookies entfernen“ entfernt automatisch das Sicherheitskennzeichen von Cookies, die verhindern, dass sie über Klartextverbindungen übertragen werden. Dies könnte bei der Durchführung von SSLStrip-artigen Angriffen dazu beitragen, dass Authentifizierungstoken und andere sensible Cookies durchgesickert sind.
Im Abschnitt „Übereinstimmen und ersetzen“ direkt unter dem Abschnitt „Antwortänderung“ können Sie mit Regex benutzerdefinierte Regeln für Anfragen und Antworten konfigurieren. Sie können die Kopfzeilen oder den Textkörper von Anforderung und Antwort, Parameternamen und -werten sowie der ersten Zeile der Anforderung ersetzen.
