Se você estiver testando um site com o Burp Suite, há muitas mudanças que você pode fazer em suas solicitações e nas páginas da web que você vê. Você pode configurar uma série de alterações automáticas a serem feitas nas respostas que você recebe. As opções podem ser encontradas na seção “Modificação de resposta” da subguia “Opções” da guia “Proxy”. Todas as modificações de resposta automática são projetadas para serem úteis para pessoas que estão testando sites.
Nota: Burp Suite tem usos legítimos, como ferramenta de segurança. Você precisa garantir que tem permissão do proprietário de um site para testar o site antes de tentar qualquer coisa, já que você pode estar infringindo a lei se não o fizer, mesmo se você só usar sua própria conta em um local na rede Internet.
A primeira opção é “Reexibir campos de formulário ocultos” e vem com a subopção “Destacar campos de formulário ocultos com destaque”. Os campos ocultos do formulário geralmente contêm um valor de dados pré-configurado, como um ID do usuário. Esses dados precisam ser enviados com a solicitação, mas o usuário não precisa ver ou editá-los. Ao reexibir os campos, você pode ver mais facilmente o que acontece se editar seus valores. Essas opções automatizam o processo para que você possa localizar facilmente os campos ocultos do formulário.
“Habilitar campos de formulário desabilitados” habilita automaticamente qualquer campo de formulário que tenha sido desabilitado para evitar que o usuário edite seus valores. “Remover limites de comprimento de campo de entrada” remove quaisquer restrições sobre quantos caracteres podem ser enviados por meio de um campo de formulário. Isso pode causar um comportamento inesperado em sites que esperam apenas uma determinada duração de entrada.
“Remover validação de formulário JavaScript” exclui qualquer JavaScript que valide os dados do formulário à medida que são enviados, permitindo envios de dados inválidos. “Remover todo o JavaScript” exclui todo o JavaScript da página da web. Essa opção tem como objetivo desabilitar a lógica do lado do cliente. "Retirar
“Converter links HTTPS em HTTP” faz o downgrade automaticamente de links criptografados para links de texto simples. Isso pode ser útil para testar ataques do tipo SSLStrip e verificar se o site atualiza as solicitações de texto simples. “Remover sinalizador seguro dos cookies” remove automaticamente o sinalizador seguro dos cookies que os impedem de serem transmitidos por conexões de texto simples. Isso pode ajudar no vazamento de tokens de autenticação e outros cookies confidenciais ao executar ataques do tipo SSLStrip.
A seção “Corresponder e substituir”, logo abaixo da seção “Modificação da resposta”, permite configurar regras personalizadas para solicitações e respostas usando Regex. Você pode substituir os cabeçalhos ou o corpo da solicitação e da resposta, nomes e valores de parâmetros e a primeira linha da solicitação.
