由于剩下几个模块核心内容较少,因此一次介绍两个模快
一.Sequencer的介绍
Burp Sequencer是一种用于分析数据项样本中随机性质的工具。您可以使用它来测试应用程序的会话令牌或其他意图不可预测的重要数据项,例如反CSRF令牌,密码重置令牌等。
要开始了解Burp Sequencer,请执行以下步骤:
-
在代理历史记录中查找发出会话令牌或其他类似项目的响应,无论是在Set-Cookie标头中,还是在表单域中,还是在其他任何位置。(您可以对历史记录中的Cookie列进行排序,以快速查找已发布的Cookie。)使用上下文菜单将项目发送到Burp Sequencer。
-
转到“ Select Live Capture Request”选项卡,然后在“选择实时捕捉请求”部分中,选择刚刚发送的项目
-
在“响应中的令牌位置”部分中,选择响应中出现令牌的位置。如果令牌出现在自定义位置(即不在Set-Cookie标头或表单域中),则选择“自定义位置”选项,然后在对话框中选择响应中的令牌,然后单击“确定”。
-
在“选择实时捕获请求”部分中,单击“开始实时捕获”按钮。这将导致Burp重复发出原始请求,并提取响应中收到的所有令牌。实时捕获会话将打开一个新窗口,显示捕获的进度以及已获取的令牌数。获得几百个令牌后,暂停实时捕获会话并单击“立即分析”按钮
-
分析完成后,选项卡将显示随机性测试的结果。这些显示了样本中估计的熵量的总体总结,以及所执行的每种类型的测试的详细结果。结果本身内有每个测试的简要文档
-
在某些情况下,您可能已经获得了合适的代币样本。您可以手动将此示例加载到Sequencer中并执行相同的分析。为此,在主Burp UI中,转到Sequencer选项卡和Manual load子选项卡。您可以从剪贴板粘贴标记或从文件加载它们,然后使用“立即分析”按钮开始分析加载的样本。
二.Decoder的介绍
Burp Decoder是一种简单的工具,用于将编码数据转换为规范形式,或将原始数据转换为各种编码和散列形式。它能够使用启发式技术智能地识别多种编码格式
数据加载到解码器中
将数据加载到解码器中:
-
直接在顶部编辑器面板中键入或粘贴它。
-
在Burp中的任何位置选择数据,然后从上下文菜单中选择“发送到解码器”
转换
可以将不同的变换应用于数据的不同部分。可以使用以下解码和编码操作:
-
网址
-
HTML
-
Base64编码
-
ASCII十六进制
-
十六进制
-
八进制
-
二进制
-
GZIP
通过有请求的任意模块的右键菜单send to Decoder或输入数据选择相应的数据格式即可进行解码编码操作,或直接点击Smart decoding进行智能解码