როგორ ავტომატურად ჩაანაცვლოთ მონაცემები ვებ პასუხში Burp Suite-ით

თუ ვებსაიტს Burp Suite-ით ამოწმებთ, ბევრი ცვლილებაა, რაც შეგიძლიათ შეასრულოთ თქვენს მოთხოვნებში და თქვენს მიერ ნახულ ვებგვერდებზე. თქვენ შეგიძლიათ დააკონფიგურიროთ რამდენიმე ავტომატური ცვლილება, რომელიც განხორციელდება თქვენს მიერ მიღებულ პასუხებში. ოფციები შეგიძლიათ იხილოთ "პროქსი" ჩანართის "პარამეტრები" ქვეჩანართში "პასუხის მოდიფიკაცია" განყოფილებაში. ყველა ავტომატური პასუხის მოდიფიკაცია შექმნილია იმისთვის, რომ სასარგებლო იყოს ვებსაიტების ტესტირების ადამიანებისათვის.

შენიშვნა: Burp Suite-ს აქვს ლეგიტიმური გამოყენება, როგორც უსაფრთხოების ინსტრუმენტი. თქვენ უნდა დარწმუნდეთ, რომ გაქვთ ნებართვა ვებსაიტის მფლობელისგან, რომ შეამოწმოთ ვებსაიტი, სანამ შეეცდებით ამის გაკეთებას ნებისმიერ შემთხვევაში, რადგან თქვენ შეიძლება დაარღვიოთ კანონი, თუ არა, მაშინაც კი, თუ მხოლოდ საკუთარ ანგარიშს იყენებთ ა ვებგვერდი.

ავტომატური მოდიფიკაციის ვარიანტები შეგიძლიათ იხილოთ "პროქსი" ჩანართის "პარამეტრები" ქვეჩანართში "პასუხის მოდიფიკაცია" განყოფილებაში.

პირველი ვარიანტია „დამალული ფორმის ველების გახსნა“ და მოყვება ქვეოფცია „გამორჩეულად მონიშნეთ დამალული ფორმის ველები“. დამალული ფორმის ველები ჩვეულებრივ შეიცავს წინასწარ კონფიგურირებულ მონაცემთა მნიშვნელობას, როგორიცაა მომხმარებლის ID. ეს მონაცემები უნდა იყოს გაგზავნილი მოთხოვნასთან ერთად, მაგრამ მომხმარებელს არ სჭირდება მისი ნახვა ან რედაქტირება. ველების დამალვით, თქვენ შეგიძლიათ უფრო მარტივად ნახოთ რა მოხდება, თუ მათ მნიშვნელობებს შეცვლით, ეს ოფციები ავტომატიზირებს პროცესს, ასე რომ თქვენ შეგიძლიათ მარტივად იპოვოთ დამალული ფორმის ველები.

„გათიშული ფორმის ველების ჩართვა“ ავტომატურად ჩართავს ფორმის ნებისმიერ ველს, რომელიც გამორთულია, რათა მომხმარებელს არ შეუშალოს მათი მნიშვნელობების რედაქტირება. „შეყვანის ველის სიგრძის ლიმიტების ამოღება“ აშორებს ნებისმიერ შეზღუდვას, თუ რამდენი სიმბოლო შეიძლება იყოს გაგზავნილი ფორმის ველის მეშვეობით. ამან შეიძლება გამოიწვიოს მოულოდნელი ქცევა ვებსაიტებში, რომლებიც ელოდება მხოლოდ გარკვეული ხანგრძლივობის შეყვანას.

„JavaScript-ის ფორმის ვალიდაციის წაშლა“ წაშლის ნებისმიერ JavaScript-ს, რომელიც ამოწმებს ფორმის მონაცემებს გაგზავნის დროს, რაც საშუალებას აძლევს არასწორი მონაცემების გაგზავნას. „Remove all JavaScript“ წაშლის მთელ JavaScript-ს ვებგვერდიდან. ეს პარამეტრი განკუთვნილია კლიენტის მხარის ლოგიკის გამორთვისთვის. „ამოღება tags“ შლის გარე რესურსების კონტეინერებს, როგორიცაა JavaScript-ის წაშლა, ეს ასევე გამიზნულია კლიენტის მხარის ლოგიკის გამორთვისთვის.

„HTTPS ბმულების HTTP-ზე გადაქცევა“ ავტომატურად ამცირებს დაშიფრულ ბმულებს უბრალო ტექსტზე. ეს შეიძლება სასარგებლო იყოს SSLStrip-ის ტიპის შეტევების შესამოწმებლად და იმის დასადასტურებლად, რომ ვებსაიტი განაახლებს ღია ტექსტის მოთხოვნებს. „წაშალე უსაფრთხო დროშა ქუქიებიდან“ ავტომატურად აშორებს უსაფრთხო დროშას ქუქიებიდან, რომლებიც ხელს უშლის მათ გადაცემას ღია ტექსტური კავშირებით. ამან შეიძლება ხელი შეუწყოს ავთენტიფიკაციის ტოკენების და სხვა მგრძნობიარე ქუქიების გაჟონვას SSLStrip-ის ტიპის შეტევების განხორციელებისას.

განყოფილება „შესაბამისი და ჩანაცვლება“, რომელიც მდებარეობს „პასუხის მოდიფიკაციის“ განყოფილების ქვემოთ, საშუალებას გაძლევთ დააკონფიგურიროთ პერსონალური წესები როგორც მოთხოვნებისთვის, ასევე პასუხებისთვის Regex-ის გამოყენებით. თქვენ შეგიძლიათ შეცვალოთ მოთხოვნისა და პასუხის სათაურები ან ტექსტი, პარამეტრების სახელები და მნიშვნელობები და მოთხოვნის პირველი ხაზი.

თქვენ შეგიძლიათ დააკონფიგურიროთ მორგებული ავტომატური ჩანაცვლება "პროქსი" ჩანართის "პარამეტრები" ქვეჩანართის "შედარება და ჩანაცვლება" განყოფილებით.