BurpSuit中Intruder中一共有四种攻击类型,本文原作者使用很好的例子来解释了四种攻击类型。
<form method="post" action="/burp_test.php"> Username: <input name="username" value="" type="text" /><br /> Password: <input name="password" value="" type="password" /><br /> <input type="submit" value="login" /> </form>
使用两个字典:
1. user:
fred joe george guest
2. password:
password admin guest god letmein
一)Sniper
Sniper模式使用一个单一的输入,并且使用它来轮流替换每一个参数,并且把其它参数设置为默认值。对于4个单词的user字典,它将会生成8个请求,4个替换user域,4个替换password域。
二)Battering Ram
同样使用一个字典,但是使用该字典替换每次请求中参数的每一个域。所以对于4个单词的字典,将会产生4个请求。
三)Pitchfork
Pitchfork类似于Battering Ram,但是对于每个参数使用一个字典。如果字典长度不一样,那么生成请求的个数将与使用最短的长度那个字典相同。本例生成4个请求:
四)Cluster Bomb
Cluster Bomb是本例中应该使用的模式。它使用第一个字典的每一个单词和第二个字典的每一个单词组合,例如标准的暴力破解。4个username和5个password生成20个请求