Burp Suiteを使用している場合、何らかの形式のエンコーディングを使用しているデータに出くわすことがよくあります。 エンコーディングは通常、コンピュータシステムがデータを処理できるようにデータを構成するように設計されていますが、残念ながら、通常はデータを読み取ることができないか、少なくとも読み取りが困難になります。 人間が読める形式にデータをデコードして戻すことができる場合もありますが、エンコードされたデータはすでにランダムであり、わかりやすい結果が得られない場合もあります。 Burpには、データのデコードに役立つ「デコーダー」と呼ばれるツールが含まれているため、データの内容を確認したり、人間が読み取れるデータが含まれていないかどうかを確認したりできます。
データをデコードする方法
デコーダーにデータを追加するには、データを手動で入力するか、クリップボードから貼り付けるか、[ターゲット]、[プロキシ]、[侵入者]、または[リピーター]タブでデータを右クリックして、[デコーダーに送信]をクリックします。 これは、リクエスト全体で実行できます。 ただし、通常は、右クリックする前に強調表示して、デコードするデータのみに制限すると便利です。
Decoderにデータを取得したら、右側の[Decode as]ボタンをクリックして、使用していると思われるエンコードスキームを選択することでデータをデコードできます。 すべてのオプションはどの入力でも機能しますが、印刷可能な文字が生成されない場合があります。これは通常、そのエンコーディングを使用していないか、データがランダムに生成されたことを意味します。
選択できるエンコーディングは、プレーン、URL、HTML、Base64、ASCII 16進数、16進数、8進数、バイナリ、およびGzipです。 ドロップダウンボックスからこれらのいずれかを選択すると、Burpは出力を下の新しいボックスに表示します。 新しいボックスには独自の同一のコントロールセットが付属しているため、出力がまだエンコードされていることがわかった場合は、デコードタイプが異なっていても、再度デコードできます。 たとえば、Base64文字列をデコードして、別のBase64文字列を見つけた場合、それもデコードできます。
ヒント:多くのレベルのデコードを連鎖させることができます。 1つまたは2つの段階に限定されません。
データをエンコードする方法
「エンコード」をクリックしてエンコード方法を選択することにより、デコーダーを使用して、使用可能なすべてのエンコード方法でデータをエンコードすることもできます。 これは、文字列をデコードして変更してから、再エンコードして変更をWebリクエストに挿入する必要がある場合に便利です。
ヒント:エンコーディングは特にスマートではありません。 たとえば、英数字は有効な文字であるため、URLにエンコードする必要はありませんが、URLエンコーダーはすべての文字をエンコードします。
「ハッシュ」をクリックしてアルゴリズムを選択することにより、文字列のハッシュを生成することもできます。 ハッシュは一方向性関数であるため、これは不可能であるため、Burpはハッシュを逆にする方法を提供していません。
ヒント:Decoderでは、デコード、エンコード、ハッシュの任意の組み合わせが可能ですが、操作の順序によっては論理的に意味がありません。
処理方法を選択する前に文字列を強調表示することで、Decoderで文字列の一部をデコード、エンコード、またはハッシュできます。 これは、異なるメソッドでエンコードされた2つの変数がある場合に役立ちます。
注:デコーダーはサブタブをサポートしていないため、一度に管理できる入力は1つだけです。 プロセスの結果を失うことに問題がない限り、データをデコーダーに送信する前に、プロセスの結果をコピーするように注意してください。