כיצד להשתמש במפענח Burp Suite

בעת שימוש ב-Burp Suite, אתה עלול להיתקל לעתים קרובות בנתונים המשתמשים בצורת קידוד כלשהי. קידוד נועד בדרך כלל להגדיר את הנתונים כך שמערכת המחשב תוכל לטפל בהם, למרבה הצער, זה בדרך כלל הופך את זה לבלתי אפשרי, או לפחות קשה לקריאה. במקרים מסוימים, ניתן לפענח את הנתונים בחזרה לצורה הניתנת לקריאה על ידי אדם, אך במקרים אחרים, הנתונים המקודדים כבר היו אקראיים ולא ייצרו תוצאות מובנות. Burp כולל כלי שנקרא "מפענח" כדי לעזור לפענח נתונים כך שתוכל לראות מה הוא אומר, או אם הוא אינו מכיל נתונים קריאים על ידי אדם.

כיצד לפענח נתונים

כדי להוסיף נתונים למפענח אתה יכול להקליד אותם באופן ידני, להדביק אותם מהלוח, או שאתה יכול ללחוץ עליו באמצעות לחצן העכבר הימני בלשוניות Target, Proxy, Intruder או Repeater וללחוץ על "שלח למפענח". אתה יכול לעשות זאת עם בקשות שלמות; עם זאת, בדרך כלל יהיה מועיל יותר להגביל אותו רק לנתונים שברצונך לפענח על ידי הדגשתם לפני שתלחץ לחיצה ימנית.

לחץ לחיצה ימנית על הנתונים שברצונך לפענח ולאחר מכן לחץ על "שלח למפענח".

לאחר שיש לך נתונים ב-Decoder, תוכל לפענח אותם על ידי לחיצה על כפתור "פענוח בשם" בצד ימין ובחירת ערכת הקידוד שאתה חושב שהוא משתמש בו. כל האפשרויות יעבדו עבור כל קלט, אבל ייתכן שהן לא יפיקו תווים הניתנים להדפסה, מה שאומר בדרך כלל שהוא לא השתמש בקידוד הזה או שהנתונים פשוט נוצרו באופן אקראי.

הקידודים שאתה יכול לבחור ביניהם הם Plain, URL, HTML, Base64, ASCII hex, Hex, Octal, Binary ו-Gzip. בחר אחד מאלה מהתיבה הנפתחת ו-Burp יציג את הפלט בתיבה חדשה למטה. הקופסה החדשה מגיעה עם סט משלה של פקדים זהים, כך שאם תגלה שהפלט עדיין מקודד תוכל לפענח אותו שוב, גם אם סוג הפענוח שונה. לדוגמה, אם אתה מפענח מחרוזת Base64 ומוצא מחרוזת Base64 אחרת, אתה יכול לפענח גם את זה.

טיפ: אתה יכול לשרשר יחד רמות רבות של פענוח; אתה לא מוגבל לשלב אחד או שניים בלבד.

אתה יכול לפענח נתונים, ואז לפענח שוב את התוצאה, אם ישנן מספר רמות של קידוד.

כיצד לקודד נתונים

אתה יכול גם להשתמש במפענח כדי לקודד נתונים בכל שיטות הקידוד הזמינות על ידי לחיצה על "קידוד כ" ובחירה בשיטת קידוד. זה שימושי אם אתה צריך לפענח מחרוזת, לשנות אותה, ואז צריך לקודד אותה מחדש כדי להכניס את השינוי לבקשת אינטרנט.

טיפ: הקידוד לא חכם במיוחד; לדוגמה, אין צורך לקודד תווים אלפאנומריים בכתובות URL מכיוון שהם תווים חוקיים, אך מקודד כתובת האתר יקדד כל תו.

אתה יכול גם ליצור גיבוב של מחרוזת על ידי לחיצה על "Hash" ולאחר מכן בחירת אלגוריתם. Burp אינו מציע דרך להפוך גיבוב מכיוון שהדבר אינו אפשרי מכיוון ש-hash הם פונקציות חד-כיווניות.

טיפ: כל שילוב של פענוח, קידוד וגיבוב אפשרי עם Decoder, אם כי חלק מסדרי הפעולה לא יהיו הגיוניים.

אתה יכול גם להשתמש במפענח כדי לקודד נתונים או לגיבוב אותם.

אתה יכול לפענח, לקודד או לגיבוב חלק ממחרוזת ב-Decoder על-ידי הדגשה לפני בחירת אופן הטיפול בה. זה שימושי אם יש לך שני משתנים המקודדים בשיטות שונות.

הערה: המפענח אינו תומך בכרטיסיות משנה, כך שתוכל לנהל רק קלט אחד בכל פעם. היזהר להעתיק את התוצאה של תהליך לפני שליחת נתונים נוספים למפענח, אלא אם אתה בסדר עם איבודם.