Как мне настроить Burp Suite , чтобы он когда я клацал / отправлял payload`ы всё отправлялось в Burp и определяло скулю , задержку и т.д.
-
Твой профиль заполнен на 0%. Заполни за 1 минуту, чтобы тебя нашли единомышленники и работодатели. Заполнить →
Как настроить Burp Suite для скана на SQLI в реальном времени?
- Автор темы Местный
- Дата начала
z3r0c10wn
Grey Team
- 04.09.2017
- 246
- 295
Есть три варианта -
1) Testing for SQL injection vulnerabilities В проф версии есть сканер который автоматом находит потенциальные варианты. В любом случае верифицировать придется руками
2) Мануальный фаззинг - верификация руками
3) Экспорт в sqlmap для автоматизации Using Burp with SQLMap
1) Testing for SQL injection vulnerabilities В проф версии есть сканер который автоматом находит потенциальные варианты. В любом случае верифицировать придется руками
2) Мануальный фаззинг - верификация руками
3) Экспорт в sqlmap для автоматизации Using Burp with SQLMap
1)Это самый не интересный вариант.Домен вписал и он сам ищет и очень много пропускает.
2)Если не сложно расскажи , вот я стал и читать и не совсем понял...
Зачем заменять , как этот replace правильно использовать в какой ситуации?
3)А в чем отличие , если я просто запущу sqlmap и пропишу --proxy бурпа в нём.Всё же в таргет полетит или тут конкретно уязвимости будет находить?
z3r0c10wn
Grey Team
- 04.09.2017
- 246
- 295
1) Согласен - но когда нагруженный проект, это просто помогает организовать в кучку скоуп на проверку
2) Ну из вашего скрина как я понимаю речь идет об модуле Intruder Burp Intruder
В Burp Intruder можно добавлять различные обработки полезной нагрузки, перед отправкой самого запроса. правила выполняются последовательно, их можно включать и выключать например чтобы помочь отдубасить что-то в случае если есть какие то траблы в конфигурации. Правила обработки могут помочь что бы покрутить варианты в авто режиме с определенными правилами, ну или если надо состряпать странную и не обычную нагрузку или добавить енкодинг и так далее.
3) Ну если честно то это GUIшка для скульмапа в барпе , особой пользы не дает - просто удобно по клику реквест отправлять в скульмап покрутить иногда.
В целом если хочется разобраться с Барпом- я рекомендую на port swigger зайти в академию (кстати сама академия бесплатна) и порешать там таски и поучиться! Очень хорошие примеры и варианты использования барпа там есть - в том числе и видео ролики! У них даже своя сертификация есть за 100 баксов!
2) Ну из вашего скрина как я понимаю речь идет об модуле Intruder Burp Intruder
В Burp Intruder можно добавлять различные обработки полезной нагрузки, перед отправкой самого запроса. правила выполняются последовательно, их можно включать и выключать например чтобы помочь отдубасить что-то в случае если есть какие то траблы в конфигурации. Правила обработки могут помочь что бы покрутить варианты в авто режиме с определенными правилами, ну или если надо состряпать странную и не обычную нагрузку или добавить енкодинг и так далее.
3) Ну если честно то это GUIшка для скульмапа в барпе , особой пользы не дает - просто удобно по клику реквест отправлять в скульмап покрутить иногда.
В целом если хочется разобраться с Барпом- я рекомендую на port swigger зайти в академию (кстати сама академия бесплатна) и порешать там таски и поучиться! Очень хорошие примеры и варианты использования барпа там есть - в том числе и видео ролики! У них даже своя сертификация есть за 100 баксов!
Последнее редактирование:
Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab
Похожие темы
- Статья
