Використовуючи Burp Suite, ви часто можете зустріти дані, які використовують певну форму кодування. Кодування, як правило, призначене для конфігурації даних так, щоб комп’ютерна система могла обробляти їх, на жаль, зазвичай воно робить їх неможливими або, принаймні, важкими для читання. У деяких випадках дані можуть бути декодовані назад у форму, зрозумілу людині, але в інших випадках закодовані дані вже були випадковими і не дадуть зрозумілих результатів. Burp включає в себе інструмент під назвою «Декодер», який допомагає декодувати дані, щоб ви могли бачити, що він говорить, або якщо він не містить даних, які можна читати людиною.
Як розшифрувати дані
Щоб додати дані до декодера, ви можете ввести їх вручну, вставити з буфера обміну або клацнути правою кнопкою миші на вкладках Ціль, Проксі, Зловмисник або Повторювач і натиснути «Надіслати в декодер». Ви можете зробити це з цілими запитами; однак, як правило, буде корисніше обмежити його лише даними, які ви хочете декодувати, виділивши їх перед клацанням правою кнопкою миші.
Отримавши дані в Decoder, ви можете декодувати їх, натиснувши кнопку «Декодувати як» праворуч і вибравши схему кодування, яку ви думаєте, що вона використовує. Усі параметри працюватимуть для будь-якого введення, але вони можуть не генерувати символи для друку, що зазвичай означає, що він не використовував це кодування або що дані були просто згенеровані випадковим чином.
Ви можете вибрати кодування: звичайне, URL, HTML, Base64, ASCII шістнадцятковий, шістнадцятковий, вісімковий, двійковий і Gzip. Виберіть один із них зі спадного списку, і Burp відобразить результат у новому полі нижче. Нова коробка постачається з власним набором ідентичних елементів керування, тому якщо ви виявите, що вихідний результат все ще закодований, ви можете декодувати його знову, навіть якщо тип декодування інший. Наприклад, якщо ви декодуєте рядок Base64 і знаходите інший рядок Base64, ви також можете декодувати його.
Порада. Ви можете об’єднати багато рівнів декодування; ви не обмежені лише одним або двома етапами.
Як закодувати дані
Ви також можете використовувати декодер для кодування даних усіма доступними методами кодування, натиснувши «Закодувати як» та вибравши метод кодування. Це корисно, якщо вам потрібно розкодувати рядок, змінити його, а потім повторно закодувати, щоб вставити зміну у веб-запит.
Порада: кодування не дуже розумне; наприклад, буквено-цифрові символи не потрібно кодувати в URL-адресах, оскільки вони є дійсними символами, але кодер URL-адрес буде кодувати кожен символ.
Ви також можете створити хеш рядка, натиснувши «Хеш», а потім вибравши алгоритм. Burp не пропонує спосіб повернути хеш назад, оскільки це неможливо, оскільки хеші є односторонніми функціями.
Порада: за допомогою декодера можлива будь-яка комбінація декодування, кодування та хешування, хоча деякі порядки роботи не матимуть логічного сенсу.
Ви можете декодувати, кодувати або хешувати частину рядка в Decoder, виділивши її перед вибором способу обробки. Це корисно, якщо у вас є дві змінні, закодовані різними методами.
Примітка: Декодер не підтримує підвкладки, тому ви можете керувати лише одним входом за раз. Будьте обережні, скопіюйте результат процесу, перш ніж надсилати додаткові дані до Decoder, якщо ви не можете їх втратити.