Якщо ви тестуєте веб-сайт із Burp Suite, ви можете внести багато змін у свої запити та веб-сторінки, які ви бачите. Ви можете налаштувати ряд автоматичних змін, які будуть внесені до отриманих відповідей. Параметри можна знайти в розділі «Зміна відповіді» підвкладки «Параметри» вкладки «Проксі». Усі автоматичні модифікації відповідей розроблені, щоб бути корисними для людей, які тестують веб-сайти.
Примітка. Burp Suite має законне використання як інструмент безпеки. Перш ніж спробувати це зробити, вам потрібно переконатися, що у вас є дозвіл власника веб-сайту на тестування веб-сайту будь-що, оскільки ви можете порушити закон, якщо цього не зробите, навіть якщо ви використовуєте лише власний обліковий запис на a веб-сайт.
Перший варіант — «Показати приховані поля форми» і постачається з підпараметром «Помітно виділити неприховані поля форми». Приховані поля форми зазвичай містять попередньо налаштовані значення даних, наприклад ідентифікатор користувача. Ці дані необхідно надіслати разом із запитом, але користувачеві не потрібно їх переглядати чи редагувати. Показуючи поля, ви можете легше побачити, що станеться, якщо ви відредагуєте їх значення. Ці параметри автоматизують процес, щоб ви могли легко знайти приховані поля форми.
«Увімкнути вимкнені поля форми» автоматично вмикає будь-які поля форми, які були вимкнені, щоб користувач не міг редагувати їх значення. «Видалити обмеження довжини поля введення» знімає будь-які обмеження щодо кількості символів, які можна надіслати через поле форми. Це може викликати несподівану поведінку на веб-сайтах, які очікують лише певної тривалості введення.
«Видалити перевірку форми JavaScript» видаляє будь-який JavaScript, який перевіряє дані форми під час їх надсилання, дозволяючи надсилати недійсні дані. «Видалити весь JavaScript» видаляє весь JavaScript з веб-сторінки. Цей параметр призначений для вимкнення логіки на стороні клієнта. «Видалити
«Перетворити посилання HTTPS на HTTP» автоматично повертає зашифровані посилання на звичайні. Це може бути корисно для тестування атак типу SSLStrip та перевірки того, що веб-сайт оновлює запити відкритого тексту. «Видалити прапор безпеки з файлів cookie» автоматично видаляє прапор безпеки з файлів cookie, що запобігає їх передачі через відкриті текстові з’єднання. Це може допомогти з витоком маркерів аутентифікації та інших конфіденційних файлів cookie під час виконання атак типу SSLStrip.
Розділ «Зіставлення та заміна», розташований під розділом «Зміна відповіді», дозволяє налаштувати користувацькі правила для запитів і відповідей за допомогою регулярного виразу. Ви можете замінити заголовки або тіло як запиту, так і відповіді, імена та значення параметрів, а також перший рядок запиту.
