专业的

攻击类型

• 最近更新时间：2022年7月1日

• 阅读时间：3分钟

BURP入侵者支持各种攻击类型 - 这些确定了分配有效载荷为有效载荷位置的方式。可以使用请求模板编辑器上方的下拉键选择攻击类型。可用以下攻击类型：

狙击手

这使用一组有效载荷。它依次针对每个有效载荷位置，并依次将每个有效载荷置于该位置。未针对给定请求的位置不受影响 - 删除了位置标记，并且模板中出现的任何封闭文本保持不变。此攻击类型可用于分别为常见漏洞的许多请求参数模糊。攻击中生成的请求总数是职位数量的乘积和有效负载集中的有效载荷数。

殴打公羊

这使用一组有效载荷。它通过有效载荷迭代，并立即将相同的有效载荷放入所有定义的有效载荷位置。此攻击类型很有用，如果攻击需要在请求中的多个位置插入相同的输入（例如，cookie和身体参数中的用户名）。攻击中生成的请求总数是有效负载集中的有效载荷数。

叉

这使用多个有效负载集。每个定义的位置都有不同的有效负载集（最多可达20个）。攻击同时通过所有有效负载集迭代，并将一个有效载荷放入每个定义的位置。换句话说，第一个请求将将有效载荷设置1的第一个有效载荷放入位置1，而有效载荷设置2的第一个有效载荷则将其放入位置2；第二个请求将将有效载荷设置1的第二个有效载荷放入位置1，而从有效负载集2中的第二个有效载荷到位置2等。此攻击类型很有用，而攻击需要不同但相关的输入，则可以插入请求（例如，一个参数中的用户名，而已知的ID号与另一个参数中的用户名相对应）。攻击中生成的请求总数是最小有效负载集中的有效载荷数。

簇炸弹

这使用多个有效负载集。每个定义的位置都有不同的有效负载集（最多可达20个）。攻击依次通过每个有效负载设置迭代，以便测试有效负载组合的所有排列。即，如果有两个有效载荷职位，则攻击将将有效载荷2的第一个有效载荷放入位置2，并通过位置1中的有效载荷设置1中的所有有效载荷进行迭代；然后，它将从有效载荷集2中将第二个有效载荷放入位置2中，并在位置1中的所有有效载荷集中迭代。此攻击类型在攻击需要不同且无关或未知输入的情况下很有用在请求中（例如，在猜测凭据，一个参数中的用户名和另一个参数中的密码）。攻击中生成的请求总数是所有定义有效载荷集中有效载荷数的乘积 - 这可能非常大。