Если вы тестируете веб-сайт с помощью Burp Suite, вы можете внести множество изменений в свои запросы и веб-страницы, которые вы видите. Вы можете настроить ряд автоматических изменений, которые будут вноситься в получаемые вами ответы. Параметры можно найти в разделе «Изменение ответа» на подвкладке «Параметры» вкладки «Прокси». Все модификации автоматического ответа разработаны, чтобы быть полезными для людей, тестирующих веб-сайты.
Примечание: Burp Suite имеет законное использование в качестве инструмента безопасности. Вы должны убедиться, что у вас есть разрешение владельца веб-сайта на тестирование веб-сайта, прежде чем пытаться выполнить что угодно, поскольку, если вы этого не сделаете, вы можете нарушить закон, даже если вы используете только свою учетную запись на Веб-сайт.
Первый вариант - «Показать скрытые поля формы» и включает в себя дополнительный параметр «Заметно выделять скрытые поля формы». Поля скрытой формы обычно содержат предварительно настроенное значение данных, например идентификатор пользователя. Эти данные необходимо отправить вместе с запросом, но пользователю не нужно их просматривать или редактировать. Если отобразить поля, вам будет легче увидеть, что произойдет, если вы измените их значения. Эти параметры автоматизируют процесс, чтобы вы могли легко найти скрытые поля формы.
«Включить отключенные поля формы» автоматически включает любые поля формы, которые были отключены, чтобы пользователь не мог редактировать их значения. «Удалить ограничения длины поля ввода» снимает любые ограничения на количество символов, которые можно отправить через поле формы. Это может вызвать неожиданное поведение на веб-сайтах, которые ожидают ввода только определенной длины.
«Удалить проверку формы JavaScript» удаляет любой код JavaScript, который проверяет данные формы при их отправке, что позволяет отправлять недопустимые данные. «Удалить весь JavaScript» удаляет весь JavaScript с веб-страницы. Эта опция предназначена для отключения клиентской логики. "Удалять
«Преобразование HTTPS-ссылок в HTTP» автоматически переводит зашифрованные ссылки на простые текстовые. Это может быть полезно для тестирования атак типа SSLStrip и проверки того, что веб-сайт обновляет запросы с открытым текстом. «Снять флажок безопасности с файлов cookie» автоматически снимает флажок безопасности с файлов cookie, который предотвращает их передачу по соединениям с открытым текстом. Это может помочь с утечкой токенов аутентификации и других конфиденциальных файлов cookie при выполнении атак типа SSLStrip.
Раздел «Сопоставить и заменить», расположенный чуть ниже раздела «Изменение ответа», позволяет настраивать собственные правила как для запросов, так и для ответов с помощью Regex. Вы можете заменить заголовки или тело как запроса, так и ответа, имена и значения параметров и первую строку запроса.
