ვებსაიტის უსაფრთხოების საკითხებზე ტესტირებისას, ერთ-ერთი მთავარი რამ, რისთვისაც თვალი გაახილოთ, არის მომხმარებლის ურთიერთქმედება. მომხმარებლის ურთიერთქმედება არის ნებისმიერი ქმედება, რომელიც მოიცავს ვებსაიტის მომხმარებლის მოქმედების ფორმის დამუშავებას. ეს შეიძლება იყოს JavaScript-ში მომხმარებლის ბრაუზერში ან სერვერთან ურთიერთქმედებისას, მაგალითად, PHP ფორმასთან. პრობლემების კიდევ ერთი წყაროა ცვლადები, მათ არ სჭირდებათ უშუალოდ მომხმარებლის შეყვანის შედეგი და ამის ნაცვლად გვერდის სხვა ასპექტის კონტროლი.
Intruder შექმნილია იმისათვის, რომ იყოს ინსტრუმენტი ნებისმიერი პოტენციური დაუცველობის წყაროს ტესტირების ავტომატიზაციისთვის. როგორც სხვა ჩაშენებული ხელსაწყოების შემთხვევაში, როგორიცაა Repeater, თქვენ შეგიძლიათ გაგზავნოთ მოთხოვნა, რომლის რედაქტირება გსურთ Intruder-ს მარჯვენა ღილაკით მენიუს საშუალებით. გაგზავნილი მოთხოვნები შემდეგ გამოჩნდება Intruder ჩანართში.
შენიშვნა: Burp Suite Intruder-ის გამოყენება ვებსაიტზე, რომლისთვისაც არ გაქვთ ნებართვა, შეიძლება იყოს სისხლის სამართლის დანაშაული სხვადასხვა კომპიუტერის ბოროტად გამოყენებისა და ჰაკერების შესახებ კანონებით. დარწმუნდით, რომ გაქვთ ნებართვა ვებსაიტის მფლობელისგან, სანამ ცდილობთ ამას.
როგორ გამოვიყენოთ Intruder
თქვენ ზოგადად არ გჭირდებათ "Target" ქვეჩანართის კონფიგურაცია Intruder ჩანართში. თუ თქვენ გაგზავნით მოთხოვნას, ის ავტომატურად ავსებს მნიშვნელობებს, რომლებიც გჭირდებათ თხოვნის გასაგზავნად სწორ სერვერზე. ეს ნამდვილად სასარგებლო იქნება მხოლოდ იმ შემთხვევაში, თუ გსურთ ხელით შექმნათ მთელი მოთხოვნა, ან თუ გსურთ სცადოთ გამორთოთ HTTPS.
ქვეჩანართი „პოზიციები“ გამოიყენება იმისთვის, რომ მოთხოვნით აირჩიოთ ის ადგილი, სადაც გსურთ დატვირთვის ჩასმა. Burp ავტომატურად ამოიცნობს და ხაზს უსვამს რაც შეიძლება მეტ ცვლადს, თუმცა, თქვენ მოგინდებათ შეზღუდოთ შეტევა მხოლოდ ერთ ან ორ წერტილამდე ერთდროულად. არჩეული ჩასმის წერტილების გასასუფთავებლად დააწკაპუნეთ „გასუფთავება §“-ის მარჯვენა მხარეს. ჩასმის წერტილების დასამატებლად, მონიშნეთ ის ტერიტორია, რომლის შეცვლაც გსურთ, შემდეგ დააწკაპუნეთ „დამატება §“.
თავდასხმის ტიპის ჩამოსაშლელი ყუთი გამოიყენება იმის დასადგენად, თუ როგორ ხდება ტვირთის მიწოდება. "სნაიპერი" იყენებს ერთი დატვირთვის ჩამონათვალს და მიზნად ისახავს თითოეულ ჩასმის წერტილს სათითაოდ. "ბატერინგი ram" იყენებს ერთი დატვირთვის ჩამონათვალს, მაგრამ ათავსებს დატვირთვას ყველა ჩასმის წერტილში ერთდროულად. Pitchfork იყენებს მრავალჯერადი დატვირთვის დატვირთვას, აყენებს თითოეულ მათგანს შესაბამის დანომრილ შესაყვან წერტილში, მაგრამ ყოველთვის იყენებს ერთსა და იმავე დანომრილ ჩანაწერს თითოეული სიიდან. "კასეტური ბომბი" იყენებს მსგავს სტრატეგიას ჩანგლის დასაკრავად, მაგრამ ცდილობს ყველა კომბინაციას
"Payloads" ქვეჩანართი გამოიყენება მცდელობების კონფიგურაციისთვის. დატვირთვის ტიპი გამოიყენება დატვირთვის კონფიგურაციისთვის. ქვემოთ მოყვანილი განყოფილება განსხვავდება დატვირთვის ტიპის მიხედვით, მაგრამ ყოველთვის გამოიყენება დატვირთვის სიის მნიშვნელობების დასაზუსტებლად. დატვირთვის დამუშავება საშუალებას გაძლევთ შეცვალოთ ტვირთამწეობა მათი გაგზავნისას. ნაგულისხმევად, Intruder URL შიფრავს უამრავ სპეციალურ სიმბოლოს, შეგიძლიათ გამორთოთ ეს გვერდის ბოლოში მდებარე ველის მოხსნით.
ქვეჩანართი „ოფციები“ საშუალებას გაძლევთ დააკონფიგურიროთ სკანერის ფონის რამდენიმე პარამეტრი. თქვენ შეგიძლიათ დაამატოთ grep-ზე დაფუძნებული შედეგების შესატყვისი სისტემები, რომლებიც შექმნილია იმისათვის, რომ დაგეხმაროთ მნიშვნელოვანი შედეგების ძირითადი ინფორმაციის ამოცნობაში. ნაგულისხმევად, Intruder არ მიჰყვება გადამისამართებებს, ეს შეიძლება ჩართოთ ქვეჩანართის ბოლოში.
თავდასხმის დასაწყებად დააწკაპუნეთ „შეტევის დაწყებაზე“ რომელიმე „Intruder“ ქვეჩანართის ზედა მარჯვენა კუთხეში, შეტევა დაიწყება ახალ ფანჯარაში. Burp-ის უფასო „Community“ გამოცემისთვის, Intruder ძლიერ შეზღუდულია, ხოლო პროფესიონალური ვერსია მუშაობს სრული სიჩქარით.