सुरक्षा मुद्दों के लिए किसी वेबसाइट का परीक्षण करते समय, आपकी आंखें खुली रखने वाली मुख्य चीजों में से एक उपयोगकर्ता इंटरैक्शन है। उपयोगकर्ता इंटरैक्शन कोई भी क्रिया है जिसमें वेबसाइट उपयोगकर्ता कार्रवाई के एक रूप को संसाधित करती है। यह या तो उपयोगकर्ता के ब्राउज़र पर जावास्क्रिप्ट में या सर्वर के साथ बातचीत में हो सकता है, जैसे कि PHP फॉर्म के साथ। मुद्दों का एक अन्य स्रोत चर हैं, इन्हें सीधे उपयोगकर्ता इनपुट से परिणाम की आवश्यकता नहीं होती है और इसके बजाय पृष्ठ के दूसरे पहलू को नियंत्रित करते हैं।
घुसपैठिए को किसी भी संभावित भेद्यता स्रोत के परीक्षण को स्वचालित करने के लिए एक उपकरण के रूप में डिज़ाइन किया गया है। अन्य बिल्ट-इन टूल्स जैसे कि पुनरावर्तक के साथ, आप एक अनुरोध भेज सकते हैं जिसे आप राइट-क्लिक मेनू के माध्यम से घुसपैठिए को संपादित करना चाहते हैं। भेजे गए अनुरोध तब घुसपैठिए टैब में दिखाई देंगे।
नोट: ऐसी वेबसाइट पर बर्प सूट इंट्रूडर का उपयोग करना जिसके लिए आपके पास अनुमति नहीं है, विभिन्न कंप्यूटर दुरुपयोग और हैकिंग कानूनों के तहत एक आपराधिक अपराध हो सकता है। यह कोशिश करने से पहले सुनिश्चित करें कि आपके पास वेबसाइट के मालिक की अनुमति है।
घुसपैठिए का उपयोग कैसे करें
आपको आम तौर पर घुसपैठिए टैब में "लक्ष्य" उप-टैब को कॉन्फ़िगर करने की आवश्यकता नहीं होती है। यदि आप एक अनुरोध भेजते हैं तो यह स्वचालित रूप से उन मानों को पॉप्युलेट करता है जिन्हें आपको सही सर्वर पर अनुरोध भेजने की आवश्यकता होती है। यह वास्तव में केवल तभी उपयोगी होगा जब आप संपूर्ण अनुरोध को मैन्युअल रूप से तैयार करना चाहते हैं, या यदि आप HTTPS को अक्षम करने का प्रयास करना चाहते हैं।
"स्थिति" उप-टैब का उपयोग यह चुनने के लिए किया जाता है कि आप अनुरोध में कहां पेलोड डालना चाहते हैं। बर्प स्वचालित रूप से अधिक से अधिक चर की पहचान करता है और हाइलाइट करता है, हालांकि, आप संभवतः एक समय में केवल एक या दो सम्मिलन बिंदुओं पर हमले को कम करना चाहेंगे। चयनित सम्मिलन बिंदुओं को साफ़ करने के लिए, दाईं ओर "साफ़ करें" पर क्लिक करें। सम्मिलन बिंदु जोड़ने के लिए, उस क्षेत्र को हाइलाइट करें जिसे आप बदलना चाहते हैं, फिर "Add जोड़ें" पर क्लिक करें।
हमले के प्रकार के ड्रॉपडाउन बॉक्स का उपयोग यह निर्धारित करने के लिए किया जाता है कि पेलोड कैसे वितरित किए जाते हैं। "स्नाइपर" एक एकल पेलोड सूची का उपयोग करता है और प्रत्येक प्रविष्टि बिंदु को एक-एक करके लक्षित करता है। "बैटरिंग रैम" एक एकल पेलोड सूची का उपयोग करता है लेकिन एक ही बार में सभी सम्मिलन बिंदुओं में पेलोड सम्मिलित करता है। पिचफोर्क कई पेलोड का उपयोग करता है, प्रत्येक को क्रमशः क्रमांकित सम्मिलन बिंदु में सम्मिलित करता है लेकिन केवल प्रत्येक सूची से समान क्रमांकित प्रविष्टि का उपयोग करता है। "क्लस्टर बम" पिचफोर्क के समान रणनीति का उपयोग करता है लेकिन हर संयोजन की कोशिश करता है
"पेलोड्स" उप-टैब का उपयोग प्रयास किए गए पेलोड को कॉन्फ़िगर करने के लिए किया जाता है। पेलोड प्रकार का उपयोग यह कॉन्फ़िगर करने के लिए किया जाता है कि आप पेलोड कैसे निर्दिष्ट करते हैं। नीचे दिया गया अनुभाग पेलोड प्रकार के आधार पर भिन्न होता है लेकिन हमेशा पेलोड सूची मान निर्दिष्ट करने के लिए उपयोग किया जाता है। पेलोड प्रोसेसिंग आपको पेलोड को सबमिट करने के दौरान संशोधित करने की अनुमति देता है। डिफ़ॉल्ट रूप से, घुसपैठिए URL कई विशेष वर्णों को एन्कोड करता है, आप पृष्ठ के निचले भाग में स्थित चेकबॉक्स को अनचेक करके इसे अक्षम कर सकते हैं।
"विकल्प" उप-टैब आपको स्कैनर के लिए कई पृष्ठभूमि सेटिंग्स को कॉन्फ़िगर करने की अनुमति देता है। आप सार्थक परिणामों से महत्वपूर्ण जानकारी की पहचान करने में मदद करने के लिए डिज़ाइन किए गए grep-आधारित परिणाम मिलान सिस्टम जोड़ सकते हैं। डिफ़ॉल्ट रूप से, घुसपैठिए पुनर्निर्देशन का पालन नहीं करता है, इसे उप-टैब के नीचे सक्षम किया जा सकता है।
हमले को शुरू करने के लिए, किसी भी "घुसपैठिए" उप-टैब के ऊपरी-दाएं कोने में "हमला शुरू करें" पर क्लिक करें, हमला एक नई विंडो में शुरू होगा। बर्प के मुफ्त "सामुदायिक" संस्करण के लिए, घुसपैठिए भारी दर-सीमित है, जबकि व्यावसायिक संस्करण पूरी गति से चलता है।