BurpSuiteのIntruderを使う
これを読んだら書いてあった
Payload Positions - Attack type:
Sniper
- 単一のペイロードをセットする時に使う
- 個々にパラメータを変更していくタイプに適している
- リクエスト数: ペイロードの位置の数(変数の設定箇所数)*ペイロードの数(変数の種類)
Battering ram
- 単一のペイロードをセットする時に使う
- 設定したペイロードの位置すべてに同じペイロード(変数)を設定する
- 複数箇所に指定したペイロードを付与する時などに役立つ(例: ユーザ名をパラメータとcookieにセット)
- リクエスト数: ペイロードの数
Pitchfork
- 複数のペイロードをセットする時に使う
- 異なるペイロードを設定した箇所(最大:20)にセットする
- ペイロードをセット(組み合わせ)ごとに変えて送信する(例: ユーザ名とユーザIDの組み合わせを同時に変更)
- リクエスト数: ペイロードのセット(組み合わせ)数
Cluster bomb
- 複数のペイロードをセットする時に使う
- 異なるペイロードを設定した箇所(最大:20)にセットする
- 各ペイロードセットを順番に反復するため、すべての組み合わせが送信される
- 異なる複数の箇所(例えば資格情報)を推測する場合に役立つ
- リクエスト数: 各ペイロードセット内に含まれるペイロード数(文字列の数)の積 -> 非常に大きい場合がある
Payloads Sets - Payload type:
調べたら書いてあった
Simple list
単純なリスト。ファイルから読み込むか、クリップボードから貼り付けるかで追加する。
プロバージョンだと頻度の高い単語の辞書(リスト)が用意されている。
Runtime File
実行時にペイロード文字列をファイルから読み込むことで、メモリ上に文字列を保持しないように出来る。非常に大きなペイロードが必要な場合に役立つ。