之前看到關於burp的相關教程(好像是《web安全深度剖析》裡面),其中對burp的各個模組進行了簡要的介紹,但並沒有對intruder裡面的幾種型別進行詳細的介紹。恰好看到此文(篇幅不長,卻很好的解釋了這幾種型別,所以把它翻譯過來,一方面方便自己以後檢視,一方面希望對其他對這個問題感到迷茫的同仁有所幫助。
我在進行web應用程式的測試時大量使用了burp intruder, 但是由於一些原因我在遇到多引數時總是不得不停下來思考我到底該選擇哪種模式,所以我想如果我把它們記錄下來可能能夠幫助我自己進行記憶,並且對於那些不確定的人也有所幫助。
為了展示不同模式的區別我將使用下面這個非常簡單的表單:
使用者名稱:
密碼:雖然我是在討論只有兩個引數的情況但是根據它們你應該很容易舉一反三。
sniper模式只需要輸入乙個字表(字典),並使用它對每個引數輪流進行填充,不被填充的引數將保持它的預設值。對於我的由四個單詞組成的使用者名稱字典,將會產生8次請求,有4次填充使用者名稱域,4次填充密碼域。
battering ram 也只需要輸入乙個字典,字典中的每乙個記錄將同時填充所有的引數。所以這次使用使用者名稱字典只會產生4次請求。
pitchfork 和 battering ram 模式相似但是這次每個引數對應乙個字典。如果字典之間的長度不相符,請求將會在較短的字典結束後結束。在這個例子中將會有4次請求。
最後的cluster bomb模式是一種你會在指令碼中用到的模式。它讀入兩個字典並且用第乙個字典裡的每乙個記錄與第二個字典裡的每乙個記錄進行組合。例如,你的某一的密碼爆破。4個使用者名稱和5個密碼總計可以產生20個請求。
python翻譯 Python翻譯
translator.py coding utf 8 author inspurer 月小水長 pc type lenovo create time 2019 4 6 15 44 file name translator.py github qq郵箱 2391527690 qq.com import...
翻譯外掛程式的不翻譯屬性
最近在寫乙個片假名注音外掛程式,提到,注音內容不要被翻譯外掛程式翻譯。開始在網上找到谷歌翻譯的不翻譯屬性,但是國內流行的彩雲小譯和有道不支援。由於它們的官網沒有相關說明,所以只能分析它們的外掛程式看看。谷歌翻譯,只要在標籤的class裡面增加notranslate即可。彩雲小譯,可以在標籤的clas...
mysql 翻譯函式 Mysql翻譯拼音
ps 這個似乎在翻譯多音字的時候會有漏洞,不過不會很嚴重 in string varchar 21000 mediumtext begin declare tmp str varchar 21000 charset gbk default 擷取字串,每次做擷取後的字串存放在該變數中,初始為函式引數i...