Burp Suite中文使用教程(桌面版)14.1 Burp Comparer
Burp Comparer是用于在任意兩個數據項之間執行比較(可視化“差異”)的簡單工具。Burp比較器的一些常見用法如下:
- 查找用戶名枚舉條件時,可以使用有效和無效的用戶名將響應與失敗的登錄名進行比較,以查找響應中的細微差別。
- 當入侵者攻擊導致某些響應的長度與基本響應的長度不同時,您可以將它們進行比較以快速查看差異所在。
- 在比較由不同類型的用戶生成的站點地圖或代理歷史記錄條目時,您可以比較成對的相似請求,以查看差異在哪里,從而導致不同的應用程序行為。
- 使用布爾條件注入和其他類似測試 測試盲目SQL注入錯誤時,可以比較兩個響應,以查看注入不同條件是否導致響應的相關差異。
將數據加載到比較器中
您可以通過以下方式將數據加載到Comparer中:
- 將其直接粘貼到剪貼板。
- 從文件加載。
- 在Burp中的任意位置選擇數據,然后從上下文菜單中選擇“發送到比較器”。
進行比較
加載數據的每一項都顯示在兩個相同的列表中。要進行比較,請從每個列表中選擇一個不同的項目,然后單擊“比較”按鈕之一:
- 單詞比較 -此比較根據空白定界符對每個數據項進行標記化,并標識將第一項轉換為第二項所需的標記級編輯。當被比較項之間的有趣差異出現在單詞級別時(例如在包含不同內容的HTML文檔中),這是最有用的。
- 字節比較 -此比較確定將第一項轉換為第二項所需的字節級編輯。當被比較項之間的有趣差異存在于字節級別時,例如在HTTP請求中在特定參數或cookie值中包含微妙的不同值的情況下,這是最有用的。
注意:字節級別的比較在計算上要花很多時間,通常,只有在單詞級別的比較未能以有意義的方式識別相關差異時,才應使用此選項。
啟動比較時,會出現一個新窗口,顯示比較結果。窗口的標題欄指示兩個項目之間的差異(即編輯)總數。兩個主面板顯示比較的項目,這些項目以彩色表示分別將第一個項目轉換為第二個項目所需的修改,刪除和添加。
您可以以文本或十六進制形式查看每個項目。選擇“同步視圖”選項將使您能夠同時滾動兩個面板,從而在大多數情況下快速識別出有趣的編輯。
推薦文章: