Bir web sitesini güvenlik sorunları açısından test ederken, gözlerinizi açık tutmanız gereken en önemli şeylerden biri kullanıcı etkileşimleridir. Kullanıcı etkileşimi, web sitesinin bir tür kullanıcı eylemi işlemesini içeren herhangi bir eylemdir. Bu, kullanıcının tarayıcısındaki JavaScript'te veya PHP formu gibi sunucuyla etkileşimlerde olabilir. Diğer bir sorun kaynağı da değişkenlerdir, bunların doğrudan kullanıcı girdisinden kaynaklanması gerekmez ve bunun yerine sayfanın başka bir yönünü kontrol etmesi gerekir.
Saldırgan, herhangi bir olası güvenlik açığı kaynağının test edilmesini otomatikleştirmek için bir araç olarak tasarlanmıştır. Tekrarlayıcı gibi diğer yerleşik araçlarda olduğu gibi, düzenlemek istediğiniz bir isteği Intruder'a sağ tıklama menüsü aracılığıyla gönderebilirsiniz. Gönderilen istekler daha sonra Davetsiz Misafir sekmesinde görünecektir.
Not: Burp Suite Intruder'ı izniniz olmayan bir web sitesinde kullanmak, çeşitli bilgisayar kötüye kullanımı ve bilgisayar korsanlığı yasalarına göre ceza gerektiren bir suç olabilir. Bunu denemeden önce web sitesi sahibinden izin aldığınızdan emin olun.
Hırsız nasıl kullanılır
Genellikle Davetsiz Misafir sekmesindeki "Hedef" alt sekmesini yapılandırmanız gerekmez. Bir istek gönderirseniz, isteği doğru sunucuya göndermek için ihtiyacınız olan değerleri otomatik olarak doldurur. Yalnızca tüm isteği manuel olarak oluşturmak veya HTTPS'yi devre dışı bırakmayı denemek istiyorsanız gerçekten yararlı olacaktır.
"Pozisyonlar" alt sekmesi, yükleri istekte nereye eklemek istediğinizi seçmek için kullanılır. Burp, mümkün olduğu kadar çok değişkeni otomatik olarak tanımlar ve vurgular, ancak muhtemelen saldırıyı bir seferde yalnızca bir veya iki ekleme noktasına kadar daraltmak isteyeceksiniz. Seçilen ekleme noktalarını temizlemek için sağ taraftaki “Temizle §” seçeneğine tıklayın. Ekleme noktaları eklemek için, değiştirilmesini istediğiniz alanı vurgulayın ve ardından “Ekle §”e tıklayın.
Saldırı türü açılır kutusu, yüklerin nasıl teslim edildiğini belirlemek için kullanılır. "Sniper" tek bir yük listesi kullanır ve her ekleme noktasını tek tek hedefler. “Vurucu ram” tek bir yük listesi kullanır, ancak yükü tüm ekleme noktalarına bir kerede ekler. Pitchfork birden çok faydalı yük kullanır, her birini sırasıyla numaralandırılmış ekleme noktasına ekler, ancak her listeden yalnızca aynı numaralı girişi kullanır. "Küme bomba", dirgen için benzer bir strateji kullanır ancak her kombinasyonu dener
"Yükler" alt sekmesi, denenen yükleri yapılandırmak için kullanılır. Yük türü, yükleri nasıl belirttiğinizi yapılandırmak için kullanılır. Aşağıdaki bölüm, yük türüne bağlı olarak değişir ancak her zaman yük listesi değerlerini belirtmek için kullanılır. Yük işleme, yükleri gönderilirken değiştirmenize olanak tanır. Varsayılan olarak, Davetsiz Misafir URL'si bir dizi özel karakteri kodlar, sayfanın altındaki onay kutusunun işaretini kaldırarak bunu devre dışı bırakabilirsiniz.
"Seçenekler" alt sekmesi, tarayıcı için bir dizi arka plan ayarını yapılandırmanıza olanak tanır. Anlamlı sonuçlardan önemli bilgileri belirlemenize yardımcı olmak için tasarlanmış grep tabanlı sonuç eşleştirme sistemleri ekleyebilirsiniz. Varsayılan olarak, Davetsiz Misafir yönlendirmeleri takip etmez, bu, alt sekmenin altında etkinleştirilebilir.
Saldırıyı başlatmak için, "Intruder" alt sekmelerinden herhangi birinin sağ üst köşesindeki "Saldırıyı başlat"a tıklayın, saldırı yeni bir pencerede başlayacaktır. Burp'un ücretsiz "Topluluk" sürümü için, Intruder büyük ölçüde hız sınırlıdır, Profesyonel sürüm ise tam hızda çalışır.