搜索
查看: 1336|回复: 0

浅谈Burp Suite的Intruder4种测试模式

[复制链接]

570

主题

837

帖子

2135

积分

管理员

本论坛第一帅

Rank: 9Rank: 9Rank: 9

积分
2135

热心会员推广达人宣传达人突出贡献优秀版主荣誉管理论坛元老

QQ
发表于 2020-7-1 16:22:12 | 显示全部楼层 |阅读模式
burp suit的intruder测试共有四种模式,如图所示,下面分别讲讲这四种模式的使用方法和场景。


一 、Sniper模式
  Sniper模式使用一组payload集合,它一次只使用一个payload位置,假设你标记了两个位置“A”和“B”,payload值为“1”和“2”,那么它测试会形成以下组合(除原始数据外):
测试序列位置A位置B
11no replace
22no replace
3
no replace
1
4no replace2
这种模式主要适用于:竞争条件测试(选择Null payloads),密码、验证码暴力破解,重放测试等场景。二、Battering ram模式
  Battering ram模式与狙击手模式类似的地方是,同样只使用一个payload集合,不同的地方在于每次测试都是替换所有payload标记位置,而狙击手模式每次只能替换一个payload标记位置。
测试序列位置1位置2
1payload1payload1
2payload2payload2
  这种模式主要适用于:撞
三、Pitchfork模式
  草叉模式允许使用多组payload组合,在每个标记位置上遍历所有payload组合,假设有两个位置“A”和“B”,payload组合1的值为“1”和“2”,payload组合2的值为“3”和“4”,则测试模式如下:
测试序列位置A位置B
1
payload1
payload3
2payload2payload4
  这种模式主要适用于:恶意注册
四、Cluster bomb模式
  集束炸弹模式跟草叉模式不同的地方在于,集束炸弹模式会对payload组进行笛卡尔积,还是上面的例子,如果用集束炸弹模式进行测试,则除baseline请求外,会有四次请求:

测试序列位置A位置B
1
payload1payload3
2payload1payload4
3payload2payload3
4payload2payload4

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
有志者,事竟成,破釜沉舟,百二秦关终属楚. 苦心人,天不负, 卧薪尝胆 ,三千越甲可吞吴
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表