burpsuite模块介绍之Intruder

导语

        Intruder是BurpSuite中一款功能极其强大的自动化测试工具，通常被系统安全渗透测试人员用于各种任务测试的场景中。

        在渗透测试过程中，我们经常使用Burp Intruder。它的工作原理是：Intruder在原始请求数据的基础上，通过修改各种请求参数，以获取不同的请求应答。每次请求中，Intruder通常会携带一个或多个有效攻击载荷（Payload），在不同的位置进行攻击重放，通过应答数据的比对分析来获得需要的特征数据。

Burp Intruder通常被使用在以下场景中：

1. 标识符枚举：Web应用程序经常使用标识符来引用用户、账户、资产等数据信息。使用Burp Intruder，你可以通过修改标识符的值，来测试系统对不同标识符的处理。

2. 提取有用的数据：在某些场景下，你需要从简单标识符中提取其他有用的数据。例如，你可以通过用户的个人空间ID来获取所有用户在个人空间上的昵称和年龄。Burp Intruder可以帮助你通过修改标识符的值，并分析应答数据，从中提取所需的信息。

3. 模糊测试：许多输入型漏洞（如SQL注入、跨站脚本和文件路径遍历）可以通过提交各种测试字符串的请求参数，并分析错误消息和异常情况来检测应用程序。由于应用程序的大小和复杂性，手动执行这个测试过程非常耗时且繁琐。在这种情况下，你可以设置Payload，利用Burp Intruder自动化进行模糊测试，以发现潜在的漏洞。

使用Burp Intruder进行测试通常遵循以下步骤：

1）将请求发送到 Intruder

1. <