वेब ऐप्स को पेंट करने के लिए बर्प सूट के इंट्रूडर टूल का उपयोग कैसे करें

वेब ऐप्स को पेंट करने के लिए बर्प सूट के इंट्रूडर टूल का उपयोग कैसे करें
आप जैसे पाठक MUO का समर्थन करने में मदद करते हैं। जब आप हमारी साइट पर लिंक का उपयोग करके खरीदारी करते हैं, तो हम संबद्ध कमीशन अर्जित कर सकते हैं। अधिक पढ़ें।

बर्प सूट पोर्टस्विगर द्वारा विकसित एक शक्तिशाली भेद्यता स्कैनर है जिसका उपयोग वेब एप्लिकेशन सुरक्षा का परीक्षण करने के लिए किया जाता है। बर्प सूट, जो काली और तोता जैसे वितरण के साथ आता है, में घुसपैठिए नामक एक उपकरण है, जो आपको एथिकल हैकिंग के लिए ऑनलाइन एप्लिकेशन के खिलाफ स्वचालित विशेष हमले करने की अनुमति देता है। घुसपैठिया एक लचीला और विन्यास योग्य उपकरण है, जिसका अर्थ है कि आप परीक्षण अनुप्रयोगों में आने वाले किसी भी कार्य को स्वचालित करने के लिए इसका उपयोग कर सकते हैं।





दिन का वीडियो

तो यह वास्तव में कैसे काम करता है?



घुसपैठिए में लक्ष्य का उपयोग करना

बर्प सूट घुसपैठिए पर हमले का प्रकार चुनना

टारगेट, जिसे आप बर्प सूट में इंट्रूडर टैब पर आने पर देख सकते हैं, जिसमें उस टारगेट वेबसाइट या एप्लिकेशन के बारे में जानकारी होती है, जिसका आप परीक्षण करना चाहते हैं। आप 'पेलोड स्थिति' अनुभाग के अंतर्गत लक्ष्य के रूप में होस्ट जानकारी और पोर्ट संख्या दर्ज कर सकते हैं।





घुसपैठिए में स्थिति टैब का उपयोग करना

स्थिति टैब में, आप हमले के प्रकार, अनुरोध टेम्पलेट और लक्षित की जाने वाली पैरामीटर जानकारी देख सकते हैं। यहां वे प्रकार के हमले हैं जिनका आप बर्प सुइट का उपयोग करके परीक्षण कर सकते हैं।

निशानची: यह विकल्प केवल एक पैरामीटर का उपयोग करता है। इस मामले में अलक्षित पैरामीटर प्रभावित नहीं होते हैं।



तख्तों का घर: यह विकल्प सभी लक्षित पैरामीटरों के लिए एकल आक्रमण सदिश का उपयोग करता है। यही है, अगर अनुरोध टेम्पलेट में तीन लक्षित पैरामीटर हैं, तो यह एक ही हमले वाले वैक्टर का उपयोग करके तीनों पर हमला करता है।

ईमेल पते से जुड़े सभी प्रोफाइल खोजें

पिचफोर्क: इस विकल्प में, सभी लक्षित मापदंडों के लिए एक से अधिक अटैक वेक्टर का उपयोग करना संभव है। यदि आपको लगता है कि अनुरोध टेम्पलेट में तीन लक्षित पैरामीटर हैं, तो पहला अनुरोध पहले पैरामीटर के लिए पहली सूची के पहले तत्व को चुनना और रखना होगा; दूसरे पैरामीटर के लिए दूसरी सूची का पहला तत्व; और तीसरे पैरामीटर के लिए तीसरी सूची का पहला तत्व। दूसरे अनुरोध में, चुने जाने वाले तत्व प्रत्येक सूची के दूसरे तत्व होंगे। आप इस हमले के प्रकार का उपयोग तब कर सकते हैं जब विभिन्न वैक्टर को कई लक्ष्य मापदंडों पर रखा जाता है।



क्लस्टर बम: आप नौकरी कर सकते हैं एक से अधिक हमले वेक्टर इस विकल्प का उपयोग करने वाले सभी लक्षित पैरामीटर के लिए। इसके और पिचफोर्क विकल्प के बीच का अंतर यह है कि एक क्लस्टर बम आपको सभी संयोजन वितरणों को समायोजित करने की अनुमति देता है। पिचफोर्क के रूप में यह अनुक्रमिक विकल्प नहीं बनाता है। लक्ष्य मापदंडों के हर संभव संयोजन का प्रयास करने से बड़े पैमाने पर अनुरोध लोड हो सकता है। नतीजतन, आपको इस विकल्प का उपयोग करते समय सावधानी बरतनी चाहिए।

स्निपर बल्लेबाज राम पिचफोर्क क्लस्टरबॉम्ब

स्थिति स्क्रीन पर कुछ अन्य उपयोगी बटन हैं। आप के साथ किसी भी चयनित पैरामीटर को हटा सकते हैं साफ़ दाईं ओर बटन। यदि आप किसी नए लक्ष्य को लक्षित करना चाहते हैं, तो आप इसका उपयोग कर सकते हैं जोड़ें दाईं ओर बटन भी। उपयोग ऑटो स्वचालित रूप से सभी क्षेत्रों का चयन करने या उनकी मूल स्थिति पर लौटने के लिए बटन।



घुसपैठिए पर क्लियर ऑटो और रिफ्रेश बटन जोड़ें

बर्प सूट में पेलोड टैब क्या है?

पेलोड सूचियों के बारे में सोचें जैसे कि शब्द सूची। आप उपयोग कर सकते हैं पेलोड एक या अधिक पेलोड सूचियाँ सेट करने के लिए टैब। हमले के प्रकार के आधार पर पेलोड सेट की संख्या भिन्न होती है।

एंड्रॉइड फोन पर कोडी को कैसे अपडेट करें

आप पेलोड सेट को एक या अधिक तरीकों से परिभाषित कर सकते हैं। यदि आपके पास एक मजबूत शब्द सूची है, तो आप का चयन करके अपनी शब्द सूची आयात कर सकते हैं भार 'पेलोड विकल्प' खंड से बटन।

आप लक्षित पैरामीटरों के लिए अलग पेलोड सेट भी तैयार कर सकते हैं। उदाहरण के लिए, आप पहले लक्ष्य पैरामीटर के लिए केवल संख्यात्मक अभिव्यक्तियों का उपयोग कर सकते हैं, जबकि आप दूसरे लक्ष्य पैरामीटर के लिए जटिल अभिव्यक्तियों का उपयोग कर सकते हैं।

पेलोड विकल्प बर्प सुइट सरल सूची

पेलोड प्रोसेसिंग

आप के माध्यम से विन्यस्त पेलोड सेट का और विस्तार कर सकते हैं पेलोड प्रोसेसिंग नियमों और एनकोडिंग के साथ। उदाहरण के लिए, आप सभी पेलोड को प्रीफिक्स कर सकते हैं, उन्हें एनकोड और डीकोड कर सकते हैं, या कुछ रेगेक्स पास करने वाले एक्सप्रेशन को छोड़ सकते हैं।

पेलोड प्रक्रिया पेंटेस्टिंग

पेलोड एन्कोडिंग

साथ पेलोड एन्कोडिंग , आप निर्दिष्ट कर सकते हैं कि बिना किसी समस्या के गंतव्य पर HTTP अनुरोधों के प्रसारण के दौरान पैरामीटर में कौन से वर्ण URL एन्कोड किए जाने चाहिए। URL एन्कोडिंग सूचना का एक परिवर्तित संस्करण है जो पते के साथ भ्रमित होने की संभावना है। बर्प सूट डिफ़ॉल्ट सेटिंग्स में एंपरसेंड (&), तारक (*), और अर्ध-कॉलन और कोलन (क्रमशः, ; और :) जैसे वर्णों के समतुल्य को एनकोड करने के लिए URL भेजता है।

बर्प सुइट इंट्रूडर पेलोड प्रोसेसिंग के साथ एनकोडिंग वर्ण

घुसपैठिए में विकल्प टैब क्या है?

विकल्प टैब में अनुरोध हेडर, हमले के परिणाम, ग्रेप मैच और रीडायरेक्ट के विकल्प हैं। स्कैन शुरू करने से पहले आप इन्हें इंट्रूडर इंटरफेस में बदल सकते हैं।

अनुरोध शीर्षलेख

कनेक्शन हेडर और लंबाई सेट करना

आप 'अनुरोध शीर्षलेख' फ़ील्ड में सेटिंग्स का उपयोग करके अनुरोध शीर्षलेख सेट कर सकते हैं। यहां ध्यान देने वाली महत्वपूर्ण बात सामग्री-लंबाई शीर्षलेख है: यदि सामग्री ठीक से अपडेट नहीं की गई है तो गंतव्य पता त्रुटि लौटा सकता है।

यदि सेट-कनेक्शन जानकारी का उपयोग नहीं किया जाता है, तो कनेक्शन खुला रह सकता है, इसलिए, सेट-कनेक्शन विकल्प को सक्रिय करने के बाद, कनेक्शन समाप्त हो जाता है। हालाँकि, आप कुछ तेज़ी से लेन-देन कर सकते हैं।

त्रुटि प्रबंधन

त्रुटियों के बाद पुन: प्रयास और रुकना

'त्रुटि से निपटने' अनुभाग में सेटिंग्स घुसपैठिए स्कैन में HTTP अनुरोध उत्पन्न करने के लिए उपयोग किए जाने वाले इंजन को नियंत्रित करती हैं। यहां, आप हमले की गति, गंभीरता और अवधि जैसे पैरामीटर सेट कर सकते हैं।

हमले के परिणाम

साइबर हमले के दौरान घुसपैठिए द्वारा क्या जानकारी हासिल की जाती है

'हमला परिणाम' अनुभाग आपको यह निर्धारित करने देता है कि स्कैन परिणामों में कौन सी जानकारी होगी। इन कॉन्फ़िगरेशन सेटिंग्स में निम्न विकल्प हैं:

  • स्टोर अनुरोध/प्रतिक्रियाएं: ये दो विकल्प यह निर्दिष्ट करने के लिए हैं कि स्कैन के अनुरोधों और प्रतिक्रियाओं की सामग्री को सहेजना चाहिए या नहीं।
  • असंशोधित आधारभूत अनुरोध करें: इसमें लक्षित पैरामीटर के साथ-साथ कॉन्फ़िगर किए गए स्कैन अनुरोधों के मूल मान शामिल हैं, ताकि आप स्कैन प्रतिक्रियाओं की तुलना कर सकें।
  • डिनायल-ऑफ़-सर्विस मोड का उपयोग करें: इस विकल्प के साथ, आप सामान्य स्कैन अनुरोध कर सकते हैं। हालाँकि, सर्वर से प्रतिक्रिया होने से पहले यह अचानक बंद हो सकता है क्योंकि यह फ़ंक्शन लक्ष्य सर्वर में थकान का कारण बनता है। इसलिए आपको इसका इस्तेमाल सोच समझ कर करना होगा।
  • पूर्ण पेलोड स्टोर करें: यह बर्प सूट को प्रत्येक परिणाम के लिए सटीक पेलोड मान सहेजने की अनुमति देता है। यदि आप इसे चुनते हैं, तो घुसपैठिया अतिरिक्त स्थान लेगा।

ग्रेप - मैच, एक्सट्रैक्ट, पेलोड

मिलान प्रकार निकालें

स्कैन प्रतिक्रियाओं में निर्दिष्ट वाक्यांशों वाले परिणामों को चिह्नित करने के लिए आप 'Grep—Match', 'Grep—Extract', और 'Grep—Payloads' अनुभागों में सेटिंग्स का उपयोग कर सकते हैं। बर्प सूट आपके द्वारा कॉन्फ़िगर किए गए प्रत्येक आइटम के लिए एक पुष्टिकरण कॉलम जोड़ देगा, यह दर्शाता है कि आइटम प्रतिक्रिया में मिला है या नहीं। उदाहरण के लिए, पासवर्ड हमलों में , आप 'गलत पासवर्ड' और 'सफल लॉगिन' जैसे वाक्य देख सकते हैं। ग्रीप-मैच अनुभाग में सुविधाओं में शामिल हैं:

  • मिलान के प्रकार: यह इंगित करता है कि परिभाषित अभिव्यक्ति एक रेगेक्स (नियमित अभिव्यक्ति) या पाठ अभिव्यक्ति है।
  • केस-संवेदी मिलान: यह निर्दिष्ट करता है कि केस संवेदी होना है या नहीं।
  • HTTP शीर्षलेख बहिष्कृत करें: उल्लिखित करना चाहे हेडर लाइन्स इस ऑपरेशन से छूट दी गई है।

बर्प सुइट इतना महत्वपूर्ण क्यों है?

एथिकल हैकर्स अक्सर बग बाउंटी ऑपरेशंस के लिए बर्प सूट का इस्तेमाल करते हैं। इसी तरह, कॉरपोरेट कंपनियों में काम करने वाले सुरक्षा शोधकर्ता और पैठ परीक्षक जो इंटरनेट अनुप्रयोगों पर सुरक्षा परीक्षण करना चाहते हैं, वे बर्प सूट पर भी भरोसा कर सकते हैं। बेशक, कई अन्य बेहतरीन उपकरण हैं जिनका उपयोग आप पैठ परीक्षण के लिए कर सकते हैं; बर्प सूट के अलावा अन्य पेन्टिंग टूल्स में महारत हासिल करने से आप अलग नजर आएंगे।

जीपीयू विंडोज़ 10 कैसे खोजें?