Kako samodejno zamenjati podatke v spletnem odzivu z Burp Suite

Če preizkušate spletno mesto z Burp Suite, lahko naredite veliko sprememb v svojih zahtevah in spletnih straneh, ki jih vidite. Konfigurirate lahko številne samodejne spremembe odgovorov, ki jih prejmete. Možnosti najdete v razdelku »Sprememba odziva« podzavihka »Možnosti« na kartici »Proxy«. Vse spremembe samodejnega odziva so zasnovane tako, da so uporabne za ljudi, ki testirajo spletna mesta.

Opomba: Burp Suite se zakonito uporablja kot varnostno orodje. Zagotoviti morate, da imate dovoljenje lastnika spletnega mesta za testiranje spletnega mesta, preden ga poskusite karkoli, saj bi lahko kršili zakon, če tega ne storite, tudi če uporabljate samo svoj račun na a Spletna stran.

Možnosti samodejnega spreminjanja najdete v razdelku »Sprememba odziva« podzavihka »Možnosti« na zavihku »Proxy«.

Prva možnost je »Razkrij skrita polja obrazca« in je na voljo s podmožnostjo »Izrazito označi neskrita polja obrazca«. Skrita polja obrazca običajno vsebujejo vnaprej konfigurirano vrednost podatkov, kot je ID uporabnika. Te podatke je treba predložiti skupaj z zahtevo, vendar jih uporabniku ni treba videti ali urejati. Če razkrijete polja, lahko lažje vidite, kaj se zgodi, če uredite njihove vrednosti, te možnosti avtomatizirajo postopek, tako da lahko preprosto najdete skrita polja obrazca.

»Omogoči onemogočena polja obrazca« samodejno omogoči vsa onemogočena polja obrazca, da prepreči uporabniku urejanje njihovih vrednosti. »Odstrani omejitve dolžine vnosnega polja« odstrani vse omejitve glede tega, koliko znakov je mogoče poslati prek polja obrazca. To lahko povzroči nepričakovano vedenje na spletnih mestih, ki pričakujejo le določeno dolžino vnosa.

»Odstrani preverjanje obrazca JavaScript« izbriše kateri koli JavaScript, ki potrjuje podatke obrazca, ko so bili poslani, kar omogoča neveljavne predložitve podatkov. »Odstrani ves JavaScript« izbriše ves JavaScript s spletne strani. Ta možnost je namenjena onemogočanju logike na strani odjemalca. "Odstrani oznake« izbriše vsebnike zunanjih virov, kot je odstranjevanje JavaScripta, to je namenjeno tudi onemogočanju logike na strani odjemalca.

»Pretvori povezave HTTPS v HTTP« samodejno zniža šifrirane povezave na tiste z golim besedilom. To je lahko koristno za testiranje napadov tipa SSLStrip in preverjanje, ali spletno mesto nadgrajuje zahteve za golo besedilo. »Odstrani varno zastavico iz piškotkov« samodejno odstrani varno zastavo iz piškotkov, ki preprečuje njihovo prenašanje prek povezav z golim besedilom. To bi lahko pomagalo pri puščanju žetonov za preverjanje pristnosti in drugih občutljivih piškotkov pri izvajanju napadov tipa SSLStrip.

Razdelek »Ujemanje in zamenjava« tik pod razdelkom »Sprememba odziva« vam omogoča, da z uporabo Regex konfigurirate pravila po meri za zahteve in odgovore. Zamenjate lahko glave ali telo zahteve in odgovora, imena in vrednosti parametrov ter prvo vrstico zahteve.

Samodejne zamenjave po meri lahko konfigurirate z razdelkom »Ujemanje in zamenjava« na podzavihku »Možnosti« zavihka »Proxy«.