1.扫描仪增加支持休息-Style参数在URL中。有些应用程序使用URL的路径部分来传输数据参数,例如:
/汽车/红色/柴油/ 2004 / SHOWDETAILS
如果将扫描仪配置为攻击休息式参数,则将测试每个“汽车”,“红色”等,以获取基于输入的漏洞。默认情况下,此选项已关闭,以避免如果不需要创建过多的扫描请求数。如果您认为应用程序可能正在使用REST范例可以传输数据,则应启用此选项。
现在延长定义非可注射参数的规则,因此您可以通过其索引号排除特定的REST参数。因此,如果您知道“Cars”用于定义应用程序路径,并且不是数据参数,则可以定义规则以跳过REST参数1的服务器端注入测试(使用索引号作为参数名称规则)。
2.扫描仪为完全可自定义的攻击点添加支持,因此您可以在应放置攻击字符串的基本请求中指定任意位置。要使用此功能,请将相关的基本请求发送到入侵者,使用有效载荷位置UI以通常的方式定义每个插入点的开始/结束,然后选择新的入侵者菜单选项“主动扫描定义的插入点”。
3.入侵者内有效载荷位置的自动放置现在在请求模板的当前所选范围内识别XML格式的数据。某些应用程序在多部分请求正文中发送XML封装的数据,例如:
发布/函数http / 1.0
内容类型:多部分/形式数据;边界= weidhwiderfhwiuehwiuehfwerrf.
内容长度:202
- 威达夫·韦弗夫夫夫夫利夫夫夫利夫利夫
内容处理:形式数据;名称=“数据”
- 威达夫·韦弗沃埃夫夫夫夫鲁夫 -
如果在整个消息上执行有效载荷位置的自动放置,则入侵者将标记整个XML块作为单个插入点,这可能不是您想要的:
但是,如果您手动选择精确的XML块,则自动放置函数将识别该选择包含XML,并将单个XML参数值标记为插入点:
与可配置插入点的扫描结合使用(参见#2),这使您可以快速扫描复杂的消息体。
4.在任何消息显示中,您现在可以复制到文件,(可编辑时)粘贴文件,使用右键单击上下文菜单。复制在所选文本上运行,或者如果未选择任何内容,则整个消息。粘贴替换所选文本,或者如果未选择任何内容,请在光标位置插入。
5.在代理拦截选项卡中显示消息时,您可以使用快捷键ALT-F和ALT-D转发或删除消息。