วิธีการแทนที่ข้อมูลโดยอัตโนมัติในการตอบสนองทางเว็บด้วย Burp Suite

เบ็ดเตล็ดDec 19, 2021

หากคุณกำลังทดสอบเว็บไซต์ด้วย Burp Suite จะมีการเปลี่ยนแปลงหลายอย่างที่คุณทำได้กับคำขอของคุณและหน้าเว็บที่คุณเห็น คุณสามารถกำหนดค่าการเปลี่ยนแปลงอัตโนมัติจำนวนหนึ่งให้กับการตอบกลับที่คุณได้รับ ตัวเลือกสามารถพบได้ในส่วน "การปรับเปลี่ยนการตอบสนอง" ของแท็บย่อย "ตัวเลือก" ของแท็บ "พร็อกซี" การปรับเปลี่ยนการตอบกลับอัตโนมัติทั้งหมดได้รับการออกแบบให้มีประโยชน์สำหรับผู้ที่ทดสอบเว็บไซต์

หมายเหตุ: Burp Suite มีการใช้งานที่ถูกต้องตามกฎหมาย เป็นเครื่องมือรักษาความปลอดภัย คุณต้องแน่ใจว่าคุณได้รับอนุญาตจากเจ้าของเว็บไซต์เพื่อทดสอบเว็บไซต์ก่อนที่จะลองทำ อย่างไรก็ตาม เนื่องจากคุณอาจทำผิดกฎหมายได้ หากคุณไม่ทำเช่นนั้น แม้ว่าคุณจะใช้บัญชีของคุณเองบน a. เท่านั้น เว็บไซต์.

ตัวเลือกการปรับเปลี่ยนอัตโนมัติสามารถพบได้ในส่วน "การปรับเปลี่ยนการตอบสนอง" ของแท็บย่อย "ตัวเลือก" ของแท็บ "พร็อกซี"

ตัวเลือกแรกคือ “ยกเลิกการซ่อนช่องแบบฟอร์มที่ซ่อนอยู่” และมาพร้อมกับตัวเลือกย่อย “เน้นช่องแบบฟอร์มที่ไม่ได้ซ่อนไว้อย่างชัดเจน” ฟิลด์แบบฟอร์มที่ซ่อนอยู่โดยทั่วไปมีค่าข้อมูลที่กำหนดไว้ล่วงหน้า เช่น ID ผู้ใช้ ต้องส่งข้อมูลนี้พร้อมกับคำขอ แต่ผู้ใช้ไม่จำเป็นต้องดูหรือแก้ไข เมื่อยกเลิกการซ่อนฟิลด์ คุณจะมองเห็นได้ง่ายขึ้นว่าเกิดอะไรขึ้นถ้าคุณแก้ไขค่าของฟิลด์ ตัวเลือกเหล่านี้จะทำให้กระบวนการทำงานโดยอัตโนมัติ คุณจึงสามารถค้นหาฟิลด์ในฟอร์มที่ซ่อนอยู่ได้อย่างง่ายดาย

“เปิดใช้งานฟิลด์ฟอร์มที่ปิดใช้งาน” เปิดใช้งานฟิลด์ฟอร์มใด ๆ ที่ถูกปิดใช้งานโดยอัตโนมัติเพื่อป้องกันไม่ให้ผู้ใช้แก้ไขค่าของพวกเขา “ลบขีดจำกัดความยาวของช่องป้อนข้อมูล” ลบข้อจำกัดใดๆ เกี่ยวกับจำนวนอักขระที่สามารถส่งผ่านช่องแบบฟอร์ม ซึ่งอาจทำให้เกิดพฤติกรรมที่ไม่คาดคิดในเว็บไซต์ที่คาดหวังเพียงความยาวของข้อมูล

“ลบการตรวจสอบความถูกต้องของแบบฟอร์ม JavaScript” จะลบ JavaScript ใดๆ ที่ตรวจสอบความถูกต้องของข้อมูลในแบบฟอร์มขณะที่กำลังส่ง ซึ่งช่วยให้ส่งข้อมูลที่ไม่ถูกต้องได้ “Remove all JavaScript” จะลบ JavaScript ทั้งหมดออกจากหน้าเว็บ ตัวเลือกนี้มีวัตถุประสงค์เพื่อปิดใช้งานตรรกะฝั่งไคลเอ็นต์ "ลบ แท็ก” จะลบคอนเทนเนอร์ของทรัพยากรภายนอก เช่น การนำ JavaScript ออก ซึ่งมีวัตถุประสงค์เพื่อปิดใช้ตรรกะฝั่งไคลเอ็นต์ด้วย

“แปลงลิงก์ HTTPS เป็น HTTP” จะปรับลดรุ่นลิงก์ที่เข้ารหัสเป็นลิงก์ข้อความธรรมดาโดยอัตโนมัติ สิ่งนี้มีประโยชน์สำหรับการทดสอบการโจมตีประเภท SSLStrip และตรวจสอบว่าเว็บไซต์อัปเกรดคำขอข้อความธรรมดาหรือไม่ “ลบการตั้งค่าสถานะความปลอดภัยออกจากคุกกี้” จะลบการตั้งค่าสถานะความปลอดภัยออกจากคุกกี้โดยอัตโนมัติ ซึ่งป้องกันไม่ให้ส่งผ่านการเชื่อมต่อแบบข้อความธรรมดา สิ่งนี้สามารถช่วยให้โทเค็นการพิสูจน์ตัวตนรั่วไหลและคุกกี้ที่มีความละเอียดอ่อนอื่นๆ เมื่อทำการโจมตีประเภท SSLStrip

ส่วน "จับคู่และแทนที่" ด้านล่างส่วน "การปรับเปลี่ยนการตอบสนอง" ช่วยให้คุณสามารถกำหนดค่ากฎที่กำหนดเองสำหรับทั้งคำขอและการตอบกลับโดยใช้ Regex คุณสามารถแทนที่ส่วนหัวหรือเนื้อหาของทั้งคำขอและการตอบกลับ ชื่อพารามิเตอร์และค่า และบรรทัดแรกของคำขอ

คุณสามารถกำหนดค่าการแทนที่อัตโนมัติแบบกำหนดเองด้วยส่วน "จับคู่และแทนที่" ของแท็บย่อย "ตัวเลือก" ของแท็บ "พร็อกซี"