burp suit的intruder测试共有四种模式,如图所示,下面分别讲讲这四种模式的使用方法和场景。
一 、Sniper模式
Sniper模式使用一组payload集合,它一次只使用一个payload位置,假设你标记了两个位置“A”和“B”,payload值为“1”和“2”,那么它测试会形成以下组合(除原始数据外):
| 测试序列 | 位置A | 位置B | | 1 | 1 | no replace | | 2 | 2 | no replace | | 3 | no replace | 1 | | 4 | no replace | 2 |
这种模式主要适用于:竞争条件测试(选择Null payloads),密码、验证码暴力破解,重放测试等场景。二、Battering ram模式 Battering ram模式与狙击手模式类似的地方是,同样只使用一个payload集合,不同的地方在于每次测试都是替换所有payload标记位置,而狙击手模式每次只能替换一个payload标记位置。 | 测试序列 | 位置1 | 位置2 | | 1 | payload1 | payload1 | | 2 | payload2 | payload2 |
这种模式主要适用于:撞裤。 三、Pitchfork模式 草叉模式允许使用多组payload组合,在每个标记位置上遍历所有payload组合,假设有两个位置“A”和“B”,payload组合1的值为“1”和“2”,payload组合2的值为“3”和“4”,则测试模式如下: | 测试序列 | 位置A | 位置B | | 1 | payload1 | payload3 | | 2 | payload2 | payload4 |
这种模式主要适用于:恶意注册。 四、Cluster bomb模式 集束炸弹模式跟草叉模式不同的地方在于,集束炸弹模式会对payload组进行笛卡尔积,还是上面的例子,如果用集束炸弹模式进行测试,则除baseline请求外,会有四次请求:
| 测试序列 | 位置A | 位置B | 1 | payload1 | payload3 | | 2 | payload1 | payload4 | | 3 | payload2 | payload3 | | 4 | payload2 | payload4
|
| 
发表于 2020-7-1 16:22:12
