Burp Suite Intruder
brute force attack을 사전 방지하기 위해 공격시도에 대한 임계값 설정이 적절하게 적용되어있는지에 대한 테스트를 위해 자주 사용하였으며, 그 외 여러 공격 테스트에 사용되는 기능입니다.
해당 테스트를 위해 사용하였던 기능은 Sniper로 확인 가능하여 이에 대한 내용을 기록하였습니다.
Intruder > Positions > Attack type
- Sniper
> 설정한 position에 payload값을 삽입
- Battering ram
> 설정한 position에 동일한 payload값을 삽입
- Pitchfork
> 설정한 position에 payload를 차례대로 삽입
- Cluster bomb
> 설정한 positon에 payload들의 모든 combination 삽입
Side button
Add $
- 전송 패킷 내 공격 포인트를 지정하는 버튼
예) 전송 패킷 내 공격 포인트 (ex. 파라미터등) 선택 후 Add $ 선택
clear $
- 디폴트로 설정되어있는 공격 포인트들을 초기화하는 버튼
Auto $
- 자동으로 공격 포인트를 지정하는 버튼
Refresh
- 새로고침
Intruder > Payloads
단순 공격테스트를 위해서 Payload Sets type은 Simple list로 설정하였으며,
그 외 다른 Payload Sets type에 대한 상세 설명은 아래 url 참조
https://portswigger.net/burp/documentation/desktop/tools/intruder/configure-attack/payload-types
Burp Intruder payload types
You can set the type of payload that you want to inject into the base request. Burp Intruder provides a range of options for auto-generating different types ...
portswigger.net
simple_test.txt문서에 작성되어있던 입력 값들이 나열되는 것을 확인 > Start Attack > 공격한 결과가 팝업되는 것을 확인
'Burp Suite > 사용법' 카테고리의 다른 글
| BurpSuit Free버전 설치 & JDK 설치 & 전송패킷확인 (0) | 2022.06.21 |
|---|---|
| Burp Suite 인증서 설치 (0) | 2022.05.12 |
