-
B правой части каждого сообщения есть стрелки ⇧ и ⇩. Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок ✔ в правой части сообщения.
-
Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе
Как настроить Burp Suite для скана на SQLI в реальном времени?
- Автор темы Местный
- Дата начала
Есть три варианта -
1)
2) Мануальный фаззинг - верификация руками
3) Экспорт в sqlmap для автоматизации
1)
Ссылка скрыта от гостей
В проф версии есть сканер который автоматом находит потенциальные варианты. В любом случае верифицировать придется руками2) Мануальный фаззинг - верификация руками
3) Экспорт в sqlmap для автоматизации
Ссылка скрыта от гостей
1)Это самый не интересный вариант.Домен вписал и он сам ищет и очень много пропускает.
2)Если не сложно расскажи , вот я стал и читать и не совсем понял...
Зачем заменять , как этот replace правильно использовать в какой ситуации?
3)А в чем отличие , если я просто запущу sqlmap и пропишу --proxy бурпа в нём.Всё же в таргет полетит или тут конкретно уязвимости будет находить?
1) Согласен - но когда нагруженный проект, это просто помогает организовать в кучку скоуп на проверку
2) Ну из вашего скрина как я понимаю речь идет об модуле Intruder
В Burp Intruder можно добавлять различные обработки полезной нагрузки, перед отправкой самого запроса. правила выполняются последовательно, их можно включать и выключать например чтобы помочь отдубасить что-то в случае если есть какие то траблы в конфигурации. Правила обработки могут помочь что бы покрутить варианты в авто режиме с определенными правилами, ну или если надо состряпать странную и не обычную нагрузку или добавить енкодинг и так далее.
3) Ну если честно то это GUIшка для скульмапа в барпе , особой пользы не дает - просто удобно по клику реквест отправлять в скульмап покрутить иногда.
В целом если хочется разобраться с Барпом- я рекомендую на port swigger зайти в академию (кстати сама академия бесплатна) и порешать там таски и поучиться! Очень хорошие примеры и варианты использования барпа там есть - в том числе и видео ролики! У них даже своя сертификация есть за 100 баксов!
2) Ну из вашего скрина как я понимаю речь идет об модуле Intruder
Ссылка скрыта от гостей
В Burp Intruder можно добавлять различные обработки полезной нагрузки, перед отправкой самого запроса. правила выполняются последовательно, их можно включать и выключать например чтобы помочь отдубасить что-то в случае если есть какие то траблы в конфигурации. Правила обработки могут помочь что бы покрутить варианты в авто режиме с определенными правилами, ну или если надо состряпать странную и не обычную нагрузку или добавить енкодинг и так далее.
3) Ну если честно то это GUIшка для скульмапа в барпе , особой пользы не дает - просто удобно по клику реквест отправлять в скульмап покрутить иногда.
В целом если хочется разобраться с Барпом- я рекомендую на port swigger зайти в академию (кстати сама академия бесплатна) и порешать там таски и поучиться! Очень хорошие примеры и варианты использования барпа там есть - в том числе и видео ролики! У них даже своя сертификация есть за 100 баксов!
Последнее редактирование:
Обучение наступательной кибербезопасности в игровой форме. Начать игру!