Burp 的Intruder是一個十分有用的工具,能夠很方便的組織各種數據進行猜解,它有4種類型,光聽名字很容易困惑,接下來我們結合實例一塊分析一下
一 Sniper(狙擊手模式)
狙擊手模式使用一組payload集合,它一次只使用一個payload位置,假設你標記了兩個位置“A”和“B”,payload值爲“1”和“2”,那麼它×××會形成以下組合(除原始數據外):
二 Battering ram(攻城錘模式)
攻城錘模式與狙擊手模式類似的地方是,同樣只使用一個payload集合,不同的地方在於每次×××都是替換所有payload標記位置,而狙擊手模式每次只能替換一個payload標記位置。
三 Pitchfork(草叉模式)
草叉模式允許使用多組payload組合,在每個標記位置上遍歷所有payload組合,假設有兩個位置“A”和“B”,payload組合1的值爲“1”和“2”,payload組合2的值爲“3”和“4”,則×××模式如下:
四 Cluster bomb(集束×××模式)
集束×××模式跟草叉模式不同的地方在於,集束×××模式會對payload組進行笛卡爾積,還是上面的例子,如果用集束×××模式進行×××,則除baseline請求外,會有四次請求: