आप जैसे पाठक MUO का समर्थन करने में मदद करते हैं। जब आप हमारी साइट पर लिंक का उपयोग करके खरीदारी करते हैं, तो हम संबद्ध कमीशन अर्जित कर सकते हैं। और पढ़ें।

बर्प सूट पोर्टस्विगर द्वारा विकसित एक शक्तिशाली भेद्यता स्कैनर है जिसका उपयोग वेब एप्लिकेशन सुरक्षा का परीक्षण करने के लिए किया जाता है। बर्प सूट, जो काली और तोता जैसे वितरण के साथ आता है, में घुसपैठिए नामक एक उपकरण है, जो आपको एथिकल हैकिंग के लिए ऑनलाइन एप्लिकेशन के खिलाफ स्वचालित विशेष हमले करने की अनुमति देता है। घुसपैठिया एक लचीला और विन्यास योग्य उपकरण है, जिसका अर्थ है कि आप परीक्षण अनुप्रयोगों में आने वाले किसी भी कार्य को स्वचालित करने के लिए इसका उपयोग कर सकते हैं।

तो यह वास्तव में कैसे काम करता है?

घुसपैठिए में लक्ष्य का उपयोग करना

टारगेट, जिसे आप बर्प सूट में इंट्रूडर टैब पर आने पर देख सकते हैं, जिसमें उस टारगेट वेबसाइट या एप्लिकेशन के बारे में जानकारी होती है, जिसका आप परीक्षण करना चाहते हैं। आप "पेलोड स्थिति" अनुभाग के अंतर्गत लक्ष्य के रूप में होस्ट जानकारी और पोर्ट संख्या दर्ज कर सकते हैं।

घुसपैठिए में स्थिति टैब का उपयोग करना

instagram viewer

स्थिति टैब में, आप हमले के प्रकार, अनुरोध टेम्पलेट और लक्षित की जाने वाली पैरामीटर जानकारी देख सकते हैं। यहां वे प्रकार के हमले हैं जिनका आप बर्प सुइट का उपयोग करके परीक्षण कर सकते हैं।

निशानची: यह विकल्प केवल एक पैरामीटर का उपयोग करता है। इस मामले में अलक्षित पैरामीटर प्रभावित नहीं होते हैं।

तख्तों का घर: यह विकल्प सभी लक्षित पैरामीटरों के लिए एकल आक्रमण सदिश का उपयोग करता है। यही है, अगर अनुरोध टेम्पलेट में तीन लक्षित पैरामीटर हैं, तो यह एक ही हमले वाले वैक्टर का उपयोग करके तीनों पर हमला करता है।

पिचफोर्क: इस विकल्प में, सभी लक्षित मापदंडों के लिए एक से अधिक अटैक वेक्टर का उपयोग करना संभव है। यदि आपको लगता है कि अनुरोध टेम्प्लेट में तीन लक्षित पैरामीटर हैं, तो पहला अनुरोध पहले पैरामीटर के लिए पहली सूची के पहले तत्व को चुनना और रखना होगा; दूसरे पैरामीटर के लिए दूसरी सूची का पहला तत्व; और तीसरे पैरामीटर के लिए तीसरी सूची का पहला तत्व। दूसरे अनुरोध में, चुने जाने वाले तत्व प्रत्येक सूची के दूसरे तत्व होंगे। आप इस हमले के प्रकार का उपयोग तब कर सकते हैं जब विभिन्न वैक्टर को कई लक्ष्य मापदंडों पर रखा जाता है।

क्लस्टर बम: आप नौकरी कर सकते हैं एक से अधिक हमले वेक्टर इस विकल्प का उपयोग करने वाले सभी लक्षित पैरामीटर के लिए। इसके और पिचफोर्क विकल्प के बीच का अंतर यह है कि एक क्लस्टर बम आपको सभी संयोजन वितरणों को समायोजित करने की अनुमति देता है। पिचफोर्क के रूप में यह अनुक्रमिक विकल्प नहीं बनाता है। लक्ष्य मापदंडों के हर संभव संयोजन का प्रयास करने से बड़े पैमाने पर अनुरोध लोड हो सकता है। नतीजतन, आपको इस विकल्प का उपयोग करते समय सावधानी बरतनी चाहिए।

स्थिति स्क्रीन पर कुछ अन्य उपयोगी बटन हैं। आप के साथ किसी भी चयनित पैरामीटर को हटा सकते हैं साफ़ दाईं ओर बटन। यदि आप किसी नए लक्ष्य को लक्षित करना चाहते हैं, तो आप इसका उपयोग कर सकते हैं जोड़ना दाईं ओर बटन भी। उपयोग ऑटो स्वचालित रूप से सभी क्षेत्रों का चयन करने या उनकी मूल स्थिति पर लौटने के लिए बटन।

बर्प सूट में पेलोड टैब क्या है?

पेलोड सूचियों के बारे में सोचें जैसे कि शब्द सूची। आप उपयोग कर सकते हैं पेलोड एक या अधिक पेलोड सूचियाँ सेट करने के लिए टैब। हमले के प्रकार के आधार पर पेलोड सेट की संख्या भिन्न होती है।

आप पेलोड सेट को एक या अधिक तरीकों से परिभाषित कर सकते हैं। यदि आपके पास एक मजबूत शब्द सूची है, तो आप का चयन करके अपनी शब्द सूची आयात कर सकते हैं भार "पेलोड विकल्प" खंड से बटन।

आप लक्षित पैरामीटरों के लिए अलग पेलोड सेट भी तैयार कर सकते हैं। उदाहरण के लिए, आप पहले लक्ष्य पैरामीटर के लिए केवल संख्यात्मक अभिव्यक्तियों का उपयोग कर सकते हैं, जबकि आप दूसरे लक्ष्य पैरामीटर के लिए जटिल अभिव्यक्तियों का उपयोग कर सकते हैं।

पेलोड प्रोसेसिंग

आप के माध्यम से विन्यस्त पेलोड सेट का और विस्तार कर सकते हैं पेलोड प्रोसेसिंग नियमों और एनकोडिंग के साथ। उदाहरण के लिए, आप सभी पेलोड को प्रीफिक्स कर सकते हैं, उन्हें एनकोड और डीकोड कर सकते हैं, या कुछ रेगेक्स पास करने वाले एक्सप्रेशन को छोड़ सकते हैं।

पेलोड एन्कोडिंग

साथ पेलोड एन्कोडिंग, आप निर्दिष्ट कर सकते हैं कि बिना किसी समस्या के गंतव्य पर HTTP अनुरोधों के प्रसारण के दौरान पैरामीटर में कौन से वर्ण URL एन्कोड किए जाने चाहिए। URL एन्कोडिंग सूचना का एक परिवर्तित संस्करण है जो पते के साथ भ्रमित होने की संभावना है। बर्प सुइट एम्परसेंड (&), तारक (*), और अर्ध-कॉलन और कोलन (क्रमशः;; और :) डिफ़ॉल्ट सेटिंग्स में।

घुसपैठिए में विकल्प टैब क्या है?

विकल्प टैब में अनुरोध हेडर, हमले के परिणाम, ग्रेप मैच और रीडायरेक्ट के विकल्प हैं। स्कैन शुरू करने से पहले आप इन्हें इंट्रूडर इंटरफेस में बदल सकते हैं।

अनुरोध शीर्षलेख

आप "अनुरोध शीर्षलेख" फ़ील्ड में सेटिंग्स का उपयोग करके अनुरोध शीर्षलेख सेट कर सकते हैं। यहां ध्यान देने वाली महत्वपूर्ण बात सामग्री-लंबाई शीर्षलेख है: यदि सामग्री ठीक से अपडेट नहीं की गई है तो गंतव्य पता त्रुटि लौटा सकता है।

यदि सेट-कनेक्शन जानकारी का उपयोग नहीं किया जाता है, तो कनेक्शन खुला रह सकता है, इसलिए, सेट-कनेक्शन विकल्प को सक्रिय करने के बाद, कनेक्शन समाप्त हो जाता है। हालाँकि, आप कुछ तेज़ी से लेन-देन कर सकते हैं।

त्रुटि प्रबंधन

"त्रुटि से निपटने" अनुभाग में सेटिंग्स घुसपैठिए स्कैन में HTTP अनुरोध उत्पन्न करने के लिए उपयोग किए जाने वाले इंजन को नियंत्रित करती हैं। यहां, आप हमले की गति, गंभीरता और अवधि जैसे पैरामीटर सेट कर सकते हैं।

हमले के परिणाम

"हमला परिणाम" अनुभाग आपको यह निर्धारित करने देता है कि स्कैन परिणामों में कौन सी जानकारी होगी। इन कॉन्फ़िगरेशन सेटिंग्स में निम्न विकल्प हैं:

  • स्टोर अनुरोध/प्रतिक्रियाएं: ये दो विकल्प यह निर्दिष्ट करने के लिए हैं कि स्कैन के अनुरोधों और प्रतिक्रियाओं की सामग्री को सहेजना चाहिए या नहीं।
  • असंशोधित आधारभूत अनुरोध करें: इसमें लक्षित पैरामीटर के साथ-साथ कॉन्फ़िगर किए गए स्कैन अनुरोधों के मूल मान शामिल हैं, ताकि आप स्कैन प्रतिक्रियाओं की तुलना कर सकें।
  • डिनायल-ऑफ़-सर्विस मोड का उपयोग करें: इस विकल्प के साथ, आप सामान्य स्कैन अनुरोध कर सकते हैं। हालाँकि, सर्वर से प्रतिक्रिया होने से पहले यह अचानक बंद हो सकता है क्योंकि यह फ़ंक्शन लक्ष्य सर्वर में थकान का कारण बनता है। इसलिए आपको इसका इस्तेमाल सोच समझ कर करना होगा।
  • पूर्ण पेलोड स्टोर करें: यह बर्प सूट को प्रत्येक परिणाम के लिए सटीक पेलोड मान सहेजने की अनुमति देता है। यदि आप इसे चुनते हैं, तो घुसपैठिया अतिरिक्त स्थान लेगा।

ग्रेप - मैच, एक्सट्रैक्ट, पेलोड

स्कैन प्रतिक्रियाओं में निर्दिष्ट वाक्यांशों वाले परिणामों को चिह्नित करने के लिए आप "Grep—Match", "Grep—Extract", और "Grep—Payloads" अनुभागों में सेटिंग्स का उपयोग कर सकते हैं। बर्प सूट आपके द्वारा कॉन्फ़िगर किए गए प्रत्येक आइटम के लिए एक पुष्टिकरण कॉलम जोड़ देगा, यह दर्शाता है कि आइटम प्रतिक्रिया में मिला है या नहीं। उदाहरण के लिए, पासवर्ड हमलों में, आप "गलत पासवर्ड" और "सफल लॉगिन" जैसे वाक्य देख सकते हैं। ग्रीप-मैच अनुभाग में सुविधाओं में शामिल हैं:

  • मिलान के प्रकार: यह इंगित करता है कि परिभाषित अभिव्यक्ति एक रेगेक्स (नियमित अभिव्यक्ति) या पाठ अभिव्यक्ति है।
  • केस-संवेदी मिलान: यह निर्दिष्ट करता है कि केस संवेदी होना है या नहीं।
  • HTTP शीर्षलेख बहिष्कृत करें: उल्लिखित करना चाहे हेडर लाइन्स इस ऑपरेशन से छूट दी गई है।

बर्प सुइट इतना महत्वपूर्ण क्यों है?

एथिकल हैकर्स अक्सर बग बाउंटी ऑपरेशंस के लिए बर्प सूट का इस्तेमाल करते हैं। इसी तरह, कॉर्पोरेट कंपनियों में काम करने वाले सुरक्षा शोधकर्ता और पैठ परीक्षक जो इंटरनेट अनुप्रयोगों पर सुरक्षा परीक्षण करना चाहते हैं, वे बर्प सूट पर भी भरोसा कर सकते हैं। बेशक, कई अन्य बेहतरीन उपकरण हैं जिनका उपयोग आप पैठ परीक्षण के लिए कर सकते हैं; बर्प सूट के अलावा अन्य पेन्टिंग टूल्स में महारत हासिल करने से आप अलग नजर आएंगे।