介绍
除了广泛认可的Repeater和Intruder房间之外,Burp Suite 还包含几个鲜为人知的模块。这些将成为这个房间探索的重点。
重点将放在解码器、比较器、排序器和组织器工具上。它们促进了编码文本的操作,支持数据集的比较,允许分析捕获的令牌内的随机性,并帮助您存储和注释 您稍后可能想要重新访问的HTTP消息的副本。尽管这些任务看起来很简单,但在Burp Suite中完成它们可以大大节省时间,从而强调了学习有效使用这些模块的重要性。
话不多说,让我们深入研究第一个工具,解码器。
解码器:概述
Burp Suite 的 Decoder 模块为用户提供了数据操作功能。正如其名称所暗示的,它不仅可以解码攻击期间截获的数据,还提供对我们自己的数据进行编码的功能,为传输到目标做好准备。解码器还允许我们创建数据的哈希和,并提供智能解码功能,该功能尝试递归地解码提供的数据,直到它恢复为纯文本(如Cyberchef的“Magic”功能)。
要访问解码器,请从顶部菜单导航至解码器选项卡以查看可用选项:
该界面列出了多种选项。
- 该框用作输入或粘贴需要编码或解码的数据的工作区。与Burp Suite的其他模块一致 ,可以通过右键单击“发送到解码器”选项将数据从框架的不同部分移动到此区域。
- 在右侧列表的顶部,有一个选项可将输入视为文本或十六进制字节值。
- 当我们向下移动列表时,会出现下拉菜单来对输入进行编码、解码或散列。
- 位于末尾的智能解码功能 尝试自动解码输入。
在输入字段中输入数据后,界面会自我复制以呈现我们操作的输出。然后我们可以选择使用相同的选项应用进一步的转换:
2.1哪个功能尝试自动解码输入? 答案:Smart decode
解码器:编码/解码
使用解码器进行编码和解码
现在,让我们详细研究一下手动编码和解码选项。无论选择解码还是编码菜单,这些都是相同的:
URL:URL 编码用于确保 Web 请求的 URL 中数据的安全传输。它涉及用十六进制格式的 ASCII 字符代码替换字符,前面加上百分比符号 (%)。此方法对于任何类型的 Web 应用程序测试都至关重要。
例如,对正斜杠字符(/)进行编码,其 ASCII 字符代码为 47,将其转换为十六进制的2F ,从而在 URL 编码中变为%2F 。解码器可用于验证这一点,方法是在输入框中键入正斜杠,然后选择Encode as -> URL
:
HTML:HTML 实体编码用与号 (&) 替换特殊字符,后跟十六进制数字或对要转义的字符的引用,并以分号 (;) 结尾。此方法可确保 HTML 中特殊字符的安全呈现,并有助于防止XSS等攻击。解码器中的 HTML 选项允许将任何字符编码为其 HTML 转义格式或解码捕获的 HTML 实体。例如,要解码之前讨论的引号,请输入编码版本并选择Decode as -> HTML
:
Base64:Base64 是一种常用的编码方法,可将任何数据转换为 ASCII 兼容的格式。在这个阶段,引擎盖下的功能并不重要。
ASCII Hex:此选项在 ASCII 和十六进制表示形式之间转换数据。例如,单词“ASCII”可以转换为十六进制数“4153434949”。每个字符都从其数字 ASCII 表示转换为十六进制。
十六进制、八进制和二进制:这些编码方法仅适用于数字输入,在十进制、十六进制、八进制(以 8 为基数)和二进制表示形式之间进行转换。
Gzip:Gzip 压缩数据,在浏览器传输之前减小文件和页面的大小。对于希望提高 SEO 分数并避免给用户带来不便的开发人员来说,更快的加载时间是非常理想的。解码器有助于 gzip 数据的手动编码和解码,尽管它通常不是有效的 ASCII/Unicode。例如:
这些方法可以堆叠。例如,短语(“Burp Suite Decoder”)可以转换为 ASCII 十六进制,然后转换为八进制: