Cara Mengganti Data Secara Otomatis dalam Respons Web Dengan Burp Suite

Jika Anda menguji situs web dengan Burp Suite, ada banyak perubahan yang dapat Anda lakukan pada permintaan Anda dan pada halaman web yang Anda lihat. Anda dapat mengonfigurasi sejumlah perubahan otomatis yang akan dilakukan pada respons yang Anda terima. Opsi dapat ditemukan di bagian "Modifikasi Respons" pada sub-tab "Opsi" pada tab "Proxy". Semua modifikasi respons otomatis dirancang agar berguna bagi orang yang menguji situs web.

Catatan: Burp Suite memiliki kegunaan yang sah, sebagai alat keamanan. Anda perlu memastikan bahwa Anda memiliki izin dari pemilik situs web untuk menguji situs web tersebut sebelum Anda mencoba melakukannya apa pun, karena Anda dapat melanggar hukum jika tidak melakukannya, bahkan jika Anda hanya menggunakan akun Anda sendiri di a situs web.

Opsi modifikasi otomatis dapat ditemukan di bagian "Modifikasi Respons" pada sub-tab "Opsi" pada tab "Proxy".

Opsi pertama adalah "Tampilkan bidang formulir tersembunyi" dan dilengkapi dengan sub-opsi "Tonjolkan bidang formulir yang tidak disembunyikan". Bidang formulir tersembunyi umumnya berisi nilai data yang telah dikonfigurasi sebelumnya, seperti ID pengguna. Data ini perlu dikirimkan dengan permintaan, tetapi pengguna tidak perlu melihat atau mengeditnya. Dengan memperlihatkan bidang, Anda dapat lebih mudah melihat apa yang terjadi jika Anda mengedit nilainya, opsi ini mengotomatiskan proses sehingga Anda dapat dengan mudah menemukan bidang formulir yang tersembunyi.

"Aktifkan bidang formulir yang dinonaktifkan" secara otomatis mengaktifkan bidang formulir apa pun yang telah dinonaktifkan untuk mencegah pengguna mengedit nilainya. "Hapus batas panjang bidang input" menghapus batasan apa pun tentang berapa banyak karakter yang dapat dikirimkan melalui bidang formulir. Ini dapat menyebabkan perilaku tak terduga di situs web yang hanya mengharapkan input dengan panjang tertentu.

"Hapus validasi formulir JavaScript" menghapus JavaScript apa pun yang memvalidasi data formulir saat dikirimkan, memungkinkan pengiriman data yang tidak valid. "Hapus semua JavaScript" menghapus semua JavaScript dari halaman web. Opsi ini dimaksudkan untuk menonaktifkan logika sisi klien. "Menghapus tag” menghapus wadah sumber daya eksternal, seperti menghapus JavaScript, ini juga dimaksudkan untuk menonaktifkan logika sisi klien.

“Konversi tautan HTTPS ke HTTP” secara otomatis menurunkan tautan terenkripsi menjadi teks biasa. Ini dapat berguna untuk menguji serangan jenis SSLStrip dan memverifikasi bahwa situs web meningkatkan permintaan teks biasa. “Hapus tanda aman dari cookie” secara otomatis menghapus tanda aman dari cookie yang mencegahnya ditransmisikan melalui koneksi teks biasa. Ini dapat membantu membocorkan token autentikasi dan cookie sensitif lainnya saat melakukan serangan tipe SSLStrip.

Bagian “Cocok dan Ganti”, tepat di bawah bagian “Modifikasi respons” memungkinkan Anda mengonfigurasi aturan khusus untuk permintaan dan respons menggunakan Regex. Anda dapat mengganti header atau isi permintaan dan respons, nama dan nilai parameter, dan baris pertama permintaan.

Anda dapat mengonfigurasi penggantian otomatis khusus dengan bagian "Cocokkan dan Ganti" pada sub-tab "Opsi" pada tab "Proxy".