Burp Intruderペイロードポジション

Burp Intruderが攻撃時にペイロードを配置する場所を決定するために、リクエストでペイロードポジションを指定できます。

ペイロードポジションフィールド

ペイロードポジションは、Intruder > ポジションのペイロードポジション欄で、任意の位置に指定できます。Intruderにリクエストを送信すると、この欄にリクエストと対象の詳細が自動的に入力されます。Intruderは、デフォルトのペイロード位置も挿入し、リクエストパラメータの値をマークします。例:

• URLクエリ文字列のパラメータ。
• ボディパラメータ。
• cookie。
• ファイルアップロードのファイル名など、マルチパートパラメータ属性。
• XMLデータと要素の属性値。
• JSONパラメータ。

対象フィールド

Burp Intruderは、対象欄にもペイロードポジションを設定できます。これは、Intruder攻撃の送信先を指定するもので、次を含みます:

• プロトコル - HTTPまたはHTTPS。
• ホスト - 対象サーバのIPアドレスまたはホスト名。
• ポート - HTTP/Sサービスのポート番号。

自動ペイロードポジションは、対象欄を含みません。

デフォルトで、対象に合わせてHostヘッダを更新が選択されています。対象に対するすべての変更は、ベースリクエストのHostに自動的にミラーリングされます。この選択を外すと、対象のみを変更できます。これにより、たとえばHTTPホストヘッダ攻撃を仕掛けるために、固定の対象に対して任意のHostヘッダを送信できます。

ペイロードポジションを設定

各ペイロードポジションは、対のペイロードマーカ§で囲まれ、識別しやすいように強調されます。ペイロードポジションを設定、変更するには、ペイロードポジション欄の横にあるボタンを使用します:

• ペイロードマーカを挿入する - §追加をクリックします。
• ペアのペイロードマーカを挿入する - 任意のテキストを選択し、§追加をクリックします。選択したテキストの両側にマーカを挿入します。

• すべてのペイロードマーカを削除する - §クリアをクリックします。

  • テキストが選択されている場合は、選択した範囲内のマーカのみが削除されます。

• デフォルトのペイロードマーカを適用する - 自動§をクリックすると、デフォルトのペイロードポジションが挿入されます。

  • デフォルトのペイロードマーカが、元パラメータ値を置換するのかあるいは元パラメータ値に追加するのかを設定するには、トップレベルのIntruderメニューに移動し、自動ペイロードポジションをクリックします。
  • テキストが選択されている場合は、選択した範囲内にのみデフォルトのマーカが挿入されます。たとえば、マルチパートのパラメータ値にXMLやJSON形式のデータが含まれている場合、フォーマットされたデータを選択し自動§をクリックすると、その中にペイロードを配置できます。
• 構文の色付けを更新 - リフレッシュをクリックすると、デフォルトの色付けに戻ります。
• リクエストテンプレートを消す - クリアをクリックします。

攻撃中は、ペイロードマーカに囲まれたテキストとペイロードマーカの両方が、ペイロードに置き換わります。ペイロードポジションに割り当てられたペイロードがない場合、囲われたテキストは変更されませんが、マーカは削除されます。