BurpSuite(Intruder)(一)
一、简介
Intruder是一个高度可配置的自动化攻击模块。它可以用来爆破用户名或密码,它还可以用来当作简单的爬虫使用。用户配置Intruder模块,比如通过枚举标识符,模糊测试,路径遍历等操作,它将有机会收集到有价值的信息。
二、功能特点
Intruder是BurpSuite中配置最为繁琐的一个模块,它灵活多变。使用正确的配置,可以让Intruder规避错误,可以缩短Intruder完成任务的时间。
三、使用情景
1. 爆破,攻击者在网页上进行用户登录,抓取到用户登录request报文,配置Intruder模块,让程序不断修改报文中某些字段,这相当于让程序模拟用户登录行为。
2. 爬虫,攻击者得知可通过ID,结合Get/Post请求,获取用户真实姓名和用户邮箱。配置Intruder模块,让程序不断请求,收集这个过程中出现的用户项目和邮箱。
3. DOS,通过配置Intruder模块,使用TCP洪水攻击耗尽服务器资源。
四、模块简介
Target:指定待攻击的目标服务器站点、端口、SSL连接是否启用。
Positions:指定Request发包前要修改的参数位置,及字典如何填充到参数中。
Payloads:指定‘字典’,及每一次取出字典时,是否要进一步编码字典等。
Options:发包(收包)细节