burpsuite 攻击类型概述

burpsuite攻击类型

单字典

Sinper（狙击手）

• sinper主要是将bp截的包各个用符号标记的数据进行逐个遍历替换。

• 按顺序一个一个参数依次遍历，一个参数遍历完，然后恢复成原数据，再遍历下一个参数。

Battering ram（攻城槌）

• 这种攻击方式是将包内所有标记的数据进行同时替换再发出。适合那种需要在请求中把相同的输入放到多个位置的情况。

• 可以有多个参数，但是这些参数都遍历同一个字典，相当于多个人在一个赛道。

多字典

Pitchfork（干草叉）

• 这一模式是使用多个payload组。对于定义的位置可以使用不同的payload组。攻击会同步迭代所有的payload组，把payload放入每个定义的位置中。比如：position中A处有a字典，B处有b字典，则a将会对应b进行攻击处理，这种攻击类型非常适合那种不同位置中需要插入不同但相关的输入的情况。请求的数量应该是最小的payload组中的payload数量。

• 多个参数同时遍历，只是一个参数选择一个字典，不重复选择字典，(多个字典中，字典短的遍历完，其余的字典停止遍历)。

Cluster bomb（集束炸弹）

• 这种模式会使用多个payload组。每个定义的位置中有不同的payload组。攻击会迭代每个payload组，每种payload组合都会被测试一遍。比如：position中A处有a字典，B处有b字典，则两个字典将会循环搭配组合进行攻击处理，这种攻击适用于那种位置中需要不同且不相关或者未知的输入的攻击。可以理解为暴力破解，穷举法。请求数为各个payload加载到字典条目数的乘积。
• 类似for循环，一个字典中选择一个数据，在遍历另一个字典的所有数据，最终遍历完所有的字典。一个不差，但是此模式需要计算力大。