BurpSuite的攻击类型有4种
注意:所有实验,都添加相同的3个payload位置:
第1个payload位置用数字,payload count 都是3个(1,2,3)
第2个payload位置用字母,payload count 都是4个(a,b,c,d)
第2个payload位置用特殊字符,payload count 都是2个(@,@@)
--------------------------------------------------------------------
第1种:Sniper :狙击手模式
由上图可见,尽管我们有3个payload位置,但是我只能选择一个Payload set
现在看爆破的结果:
综上分析:可以看到,每个有payload值会在每个位置上各出现一次
即:只能设置一个payloadset, 每个值会逐次在payload pos上使用一次
请求总数为: payload_pos个数 * payload_count个数
-------------------------------------------------------------------------------------------------
第2种: Battering ram :攻城锤模式
由上图可知,Request Count是3个
现在看爆破结果:
看图可知:每个payload值只使用一次,但是每个payload值会同时复用在所有的payload位置
请求总数: 有多少个payload值,就会请求多少次
---------------------------------------------------------------------------------------------------------------
第3种:Pitchfork : 叉子模式
有多少个payload Pos,就有多少个Payload Set可用
现在设置payload值,注意看payload Count 和 Request Count, 请求数只有2次
看爆破结果:
综上:可以看到,这是一种平行模式
即每个请求,在相同的索引下各取一个payload值, 用完就丢弃(不重复使用),如果有1个payload set没有值了,请求就停止了
请求次数:最少的那个payload set的值的个数
---------------------------------------------------------------------------------------------------------------------
第4种:Cluster Bomb:集束炸弹模式
最常用的方式
看爆破结果:
每个位置都会使用所有的payload set值,也就是以前学的“笛卡儿积”
总的请求数: 位置1 payload个数 * 位置2 payload个数 * 位置3 payload个数
------------------------------------------------------------------------------------------------------------------------------