1、介绍
intruder入侵模块,实际上是基于不同策略的重复请求,然后测试人员可以结合测试参数,分析响应。
从其他模块,选择请求,右键选择send to intruder,可以将其请求提交到intruder模块进行操作。
2、攻击类型选择和测试文本标记
(1)攻击类型有四种
sniper:狙击手模式,使用一个payload集合,对应一个或多个测试点。每次只使用payload集合中的一个值,替代一个测试点。最终请求数=payload数*测试点数。
battering ram:攻城锤模式,使用一个payload集合,对应一个或多个测试点。每次只使用payload集合中的一个值,替代所有测试点。最终请求数=payload数。
pitchfork:草叉模式,使用多个集合,对应多个测试点,一一对应。每次使用各自payload的一个值替代自身位置。最终请求数=最小的payload集合的payload数
cluster bomb:集束炸弹模式,使用多个集合,对应多个测试点,一一对应。交叉组合测试。最终请求数=各payload的数之积。
(2)标记$
不能使用手动在请求报文中添加或删除,因为需要与普通文本的$区分,通过按钮进行操作,burp程序会判断设置的测试点。
3、 payload设置
(1)simple list
(2)numbers
4、其他设置
(1)测试过程中,没有中断按钮,但是可以直接关闭攻击的弹窗使攻击结束。
(2)url编码
在repearter模块,手动输入,需要人为的预先判断是否进行url编码,如果需要的话要先计算再编辑输入。
而intruder模块,默认开启了对payload的url编码,可以进行设置具体是否需要,以及url编码的字符集合。
(3)并行请求数和延时
(4)错误
(5)重定向
(6)关闭攻击窗口时,会弹窗进行询问
5、响应分析
