Amikor egy webhelyet biztonsági problémák szempontjából tesztel, az egyik legfontosabb dolog, amire nyitott szemmel jár, az a felhasználói interakció. A felhasználói interakció minden olyan művelet, amelynek során a webhely valamilyen felhasználói műveletet dolgoz fel. Ez történhet a felhasználó böngészőjében található JavaScriptben vagy a szerverrel való interakciók során, például egy PHP-űrlappal. A problémák másik forrása a változók, amelyeknek nem kell közvetlenül a felhasználói bevitelből fakadniuk, hanem az oldal egy másik aspektusát irányítják.
Az Intruder olyan eszköz, amely automatizálja a potenciális sérülékenységi források tesztelését. A többi beépített eszközhöz hasonlóan, mint például a Repeater, a jobb gombbal kattintó menün keresztül elküldheti a szerkeszteni kívánt kérelmet az Intrudernek. Az elküldött kérések ezután láthatók lesznek a Behatoló lapon.
Megjegyzés: A Burp Suite Intruder használata olyan webhelyen, amelyre nincs engedélye, a számítógéppel való visszaélésre és a hackelésre vonatkozó különféle törvények értelmében bűncselekménynek minősülhet. Mielőtt kipróbálná, győződjön meg arról, hogy rendelkezik a webhely tulajdonosának engedélyével.
Az Intruder használata
Általában nem kell konfigurálnia a „Cél” allapot a Betolakodó lapon. Ha elküld egy kérést, akkor automatikusan kitölti a szükséges értékeket, és el kell küldenie a kérést a megfelelő szervernek. Ez csak akkor lenne igazán hasznos, ha manuálisan szeretné elkészíteni a teljes kérést, vagy ha meg akarja próbálni letiltani a HTTPS-t.
A „Pozíciók” allapon kiválasztható, hogy a kérés hova kíván rakományt beszúrni. A Burp a lehető legtöbb változót automatikusan azonosítja és kiemeli, azonban valószínűleg egyszerre csak egy vagy két beszúrási pontra szeretné leszűkíteni a támadást. A kiválasztott beszúrási pontok törléséhez kattintson a jobb oldalon található „Clear §” gombra. Beszúrási pontok hozzáadásához jelölje ki a módosítani kívánt területet, majd kattintson a „§ hozzáadása” gombra.
A támadás típusa legördülő mező a hasznos teher kézbesítésének módját határozza meg. A „Sniper” egyetlen rakománylistát használ, és egyenként célozza meg az egyes beillesztési pontokat. A „Battering ram” egyetlen hasznos teherlistát használ, de a rakományt egyszerre helyezi be az összes beillesztési pontba. A Pitchfork több hasznos adatot használ, mindegyiket beilleszti a megfelelő számozott beszúrási pontba, de mindig csak ugyanazt a számozott bejegyzést használja minden listából. A „fürtbomba” hasonló stratégiát használ a vasvillához, de minden kombinációt kipróbál
A „Payloads” allap a megkísérelt hasznos terhek konfigurálására szolgál. A hasznos teher típusa a hasznos terhek megadásának konfigurálására szolgál. Az alábbi szakasz a hasznos teher típusától függően változik, de mindig a hasznos teherlista értékeinek megadására szolgál. A rakományfeldolgozás lehetővé teszi a rakományok módosítását a beküldésükkor. Alapértelmezés szerint az Intruder URL számos speciális karaktert kódol, ezt letilthatja az oldal alján található jelölőnégyzet törlésével.
Az „Opciók” allapon számos háttérbeállítás konfigurálható a lapolvasó számára. Hozzáadhat grep-alapú eredményegyeztető rendszereket, amelyek célja, hogy segítsenek azonosítani a kulcsfontosságú információkat az értelmes eredményekből. Alapértelmezés szerint az Intruder nem követi az átirányításokat, ezt az allap alján lehet engedélyezni.
A támadás indításához kattintson a „Támadás indítása” gombra bármelyik „Intruder” allap jobb felső sarkában, a támadás egy új ablakban indul. A Burp ingyenes „Community” kiadásában az Intruder erősen korlátozott sebességgel rendelkezik, míg a Professional verzió teljes sebességgel fut.