Brupsuite compare模块主要用途是什么? 具体该如何操作? 什么场景需要用到?
XX01主要用途
compare模块是一个可视化的差异比对功能,来分析两次数据之间的区别。
XX02如何操作
设置代理后,选择拦截到的一个封包(request/response),然后发送到compare模块,点击compare模块,会发现已经有一条封包,此时可以再复制一条数据封包,或加载封包文件。 观察上下两个框中,封包内容的不同。 compare提供了两种比对方式,一种是文本,另外一种是byte。 不同的地方都带有高亮颜色标注。
XX03可能的场景
1、枚举用户名的过程,对比分析登陆失败和成功,服务器端反馈结果的区别。
2、使用intruder进行攻击时,对不同的服务器短响应,可已很快的分析出两次响应的区别在哪?
如:可能服务器端会分别对用户名、密码、验证码做检测,根据不同的情况可能会做出不同的错误输出,因此可以根据客户端的输出,一步步地缩小枚举范围。
3、进行SQL注入的盲注测试时,比较两次响应消息的差异,判断响应结果与注入条件的关联关系。