L'applicazione su cui sto eseguendo una valutazione di sicurezza su codifica le richieste POST come segue:
POST /foo/save HTTP/1.1
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Content-Length: 6652
<snip>
bar={"options"%3a{"key"%3a"26b678c6-1d75-41c0-8a20-d9882828c76c","description"%3a"Foo"...<snip>&key=26b678c6-1d75-41c0-8a20-d9882828c76c
vale a dire. Un parametro contenente JSON è inserito nella chiave bar
, quindi è codificato JSON e quindi codificato per percentuale.
C'è un modo per codificare automaticamente i payload usando Burp per l'uso in Intruder? L'unico modo che viene in mente è quello di eseguire i payload tramite la codifica esadecimale JavaScript, quindi caricare l'elenco codificato in Burp e quindi URL-encode da lì. C'è qualcosa di costruito in questo modo? Il più vicino che ho trovato è stato "JavaScript costruito stringa", tuttavia questo non è adatto per l'uso in JSON.
Quindi per riassumere ho bisogno che il carico utile sia codificato con entità esadecimale JSON e quindi con codifica URL (Burp fa facilmente il secondo, quindi la codifica JSON è il bit di cui ho bisogno).