Help us understand the problem. What is going on with this article?

Burp Suiteでのセキュリティテスト[攻撃編2]

More than 1 year has passed since last update.

前回:https://qiita.com/ta2roo/items/5324805d9e68f18279c4
送信中のデータの改ざんについて書いたので、該当するデータを総当たりでアクセスを行い
パスワードを調べるブルートフォース攻撃を行ってみようと思います。

前回同様、改ざんするべきデータをProxyタブのInterceptで見つけたら、
テキストフォーム内で該当データを選択し、Send to Intruder を押します。

Intruderに移動します。 Positionsから調査するパスワードのパラメータを選び§§ではさみPayloadタブへ移動します。
burp0625-1.png

burp0625-2.png
PayloadTypeをBrute Forcerに変更にします。

PayloadOptionsで文字数や対象となる文字の種類を選択します(小文字大文字数字記号など)

右上の[Starck Attack]を押すと攻撃が開始されます。
[Bad Request]()

サーバーの性能に左右されますが
文字/大文字/記号/数字
8文字~12字のパスワードで試したところ
1分で35件処理されました。
1秒=0.5件
4桁の数字であれば、19998秒 = 333分で全パターン処理できることなります。

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away