เมื่อใช้ Burp Suite คุณมักจะพบข้อมูลที่ใช้การเข้ารหัสบางรูปแบบ โดยทั่วไปการเข้ารหัสได้รับการออกแบบเพื่อกำหนดค่าข้อมูลเพื่อให้ระบบคอมพิวเตอร์สามารถจัดการได้ แต่โดยทั่วไปแล้วจะทำให้เป็นไปไม่ได้หรืออย่างน้อยก็ยากที่จะอ่าน ในบางกรณี ข้อมูลสามารถถอดรหัสกลับไปเป็นรูปแบบที่มนุษย์อ่านได้ แต่ในบางกรณี ข้อมูลที่เข้ารหัสนั้นสุ่มไว้แล้วและจะไม่ให้ผลลัพธ์ที่เข้าใจได้ เรอมีเครื่องมือที่เรียกว่า “ตัวถอดรหัส” เพื่อช่วยถอดรหัสข้อมูล เพื่อให้คุณเห็นว่าข้อมูลนั้นพูดอะไร หรือไม่มีข้อมูลที่มนุษย์อ่านได้
วิธีถอดรหัสข้อมูล
หากต้องการเพิ่มข้อมูลลงในตัวถอดรหัส คุณสามารถพิมพ์ข้อมูลด้วยตนเอง วางจากคลิปบอร์ด หรือคลิกขวาบนข้อมูลดังกล่าวในแท็บ Target, Proxy, Intruder หรือ Repeater แล้วคลิก "Send to Decoder" คุณสามารถดำเนินการนี้ได้กับคำขอทั้งหมด อย่างไรก็ตาม โดยทั่วไปจะมีประโยชน์มากกว่าหากจำกัดไว้เฉพาะข้อมูลที่คุณต้องการถอดรหัสโดยไฮไลต์ก่อนคลิกขวา
เมื่อคุณมีข้อมูลใน Decoder แล้ว คุณสามารถถอดรหัสได้โดยคลิกปุ่ม "ถอดรหัสเป็น" ทางด้านขวาและเลือกรูปแบบการเข้ารหัสที่คุณคิดว่าใช้อยู่ ตัวเลือกทั้งหมดจะใช้ได้กับอินพุตใดๆ แต่อาจไม่สร้างอักขระที่พิมพ์ได้ ซึ่งโดยทั่วไปหมายความว่าไม่ได้ใช้การเข้ารหัสนั้นหรือข้อมูลถูกสร้างขึ้นแบบสุ่ม
การเข้ารหัสที่คุณสามารถเลือกได้ ได้แก่ Plain, URL, HTML, Base64, ASCII hex, Hex, Octal, Binary และ Gzip เลือกรายการใดรายการหนึ่งจากกล่องดรอปดาวน์และ Burp จะแสดงผลลัพธ์ในกล่องใหม่ด้านล่าง กล่องใหม่นี้มาพร้อมกับชุดการควบคุมที่เหมือนกัน ดังนั้นหากคุณพบว่าเอาต์พุตยังคงเข้ารหัสอยู่ คุณสามารถถอดรหัสได้อีกครั้ง แม้ว่าประเภทการถอดรหัสจะต่างกัน ตัวอย่างเช่น หากคุณถอดรหัสสตริง Base64 และค้นหาสตริง Base64 อื่น คุณก็ถอดรหัสได้เช่นกัน
เคล็ดลับ: คุณสามารถเชื่อมโยงการถอดรหัสหลายระดับเข้าด้วยกัน คุณไม่ได้จำกัดแค่หนึ่งหรือสองขั้นตอน
วิธีเข้ารหัสข้อมูล
คุณยังสามารถใช้ตัวถอดรหัสเพื่อเข้ารหัสข้อมูลในวิธีการเข้ารหัสที่มีอยู่ทั้งหมดได้โดยคลิก “เข้ารหัสเป็น” และเลือกวิธีการเข้ารหัส สิ่งนี้มีประโยชน์หากคุณต้องการถอดรหัสสตริง แก้ไข จากนั้นจำเป็นต้องเข้ารหัสใหม่เพื่อแทรกการเปลี่ยนแปลงลงในคำขอทางเว็บ
เคล็ดลับ: การเข้ารหัสไม่ฉลาดเป็นพิเศษ ตัวอย่างเช่น ไม่จำเป็นต้องเข้ารหัสอักขระที่เป็นตัวอักษรและตัวเลขคละกันใน URL เนื่องจากเป็นอักขระที่ถูกต้อง แต่ตัวเข้ารหัส URL จะเข้ารหัสทุกอักขระ
คุณยังสามารถสร้างแฮชของสตริงได้โดยคลิกที่ "แฮช" จากนั้นเลือกอัลกอริทึม เรอไม่ได้เสนอวิธีการย้อนกลับของแฮช เนื่องจากไม่สามารถทำได้เนื่องจากแฮชเป็นฟังก์ชันทางเดียว
เคล็ดลับ: การถอดรหัส การเข้ารหัส และการแฮชร่วมกันสามารถทำได้ด้วยตัวถอดรหัส แม้ว่าคำสั่งของการดำเนินการบางอย่างจะไม่สมเหตุสมผลก็ตาม
คุณสามารถถอดรหัส เข้ารหัส หรือแฮชส่วนของสตริงใน Decoder ได้โดยการไฮไลต์ก่อนเลือกวิธีจัดการ สิ่งนี้มีประโยชน์หากคุณมีตัวแปรสองตัวที่เข้ารหัสด้วยวิธีการที่ต่างกัน
หมายเหตุ: ตัวถอดรหัสไม่รองรับแท็บย่อย ดังนั้นคุณจึงสามารถจัดการอินพุตได้ครั้งละหนึ่งรายการเท่านั้น โปรดใช้ความระมัดระวังในการคัดลอกผลลัพธ์ของกระบวนการก่อนที่จะส่งข้อมูลเพิ่มเติมไปยังตัวถอดรหัส เว้นแต่คุณจะยอมทำหาย