Come eseguire la risposta personalizzata grep / extract in Burp Intruder?

Naviga le tue risposte
4

Burp Intruder supporta la risposta grep per regexp e mostra ogni corrispondenza in una colonna separata nella tabella dei risultati.

È possibile utilizzare un processore di risposta personalizzato, scritto in qualsiasi lingua (preferibilmente Python) per generare un valore di colonna aggiuntivo per ogni richiesta?

Ad esempio, per ogni richiesta ho bisogno di:

  1. Accesso al corpo
  2. Conta "parole"
  3. Restituisce il valore intero e lo visualizza nella colonna aggiuntiva "Parole" nella tabella dei risultati
posta f1nn 20.09.2016 - 17:02
fonte

1 risposta

3

Non penso che ci sia un modo semplice per farlo. Potrebbe essere utile chiedere a Portswigger, in quanto sembra una richiesta ragionevole.

Come un trucco completo:

  1. Crea e registra una istanza IHttpListener .

  2. Quando vedi le risposte relative all'intruso, analizza la risposta, conta le parole, quindi modifica la risposta per includere qualcosa di facile da usare come:

    <! - WORDS: 1234 - >

  3. Configura Intruder su grep per WORDS: ed estrai il valore pertinente.

risposta data 20.09.2016 - 17:25
fonte

Leggi altre domande sui tag

Quali sono i pattern di password basati su username più comuni? I dipendenti devono affrontare persone senza carte di accesso?