概要
Intruder で Attack した時の一覧画面で HTTPレスポンス内の
Content-Length を見る事ができる設定方法です。
すごく単純なものですが、たまに使うので備忘録も兼ねてます。
対象
Burp Suite を使って診断できる方を想定しています。
環境
Windows 7
Burp Suite Professional 1.7.29
※ Burp Suite Community Edition でもいけると思うのですが、未確認です
設定方法
- Burp Suite を起動します
- Intruder -> Options と遷移します
- Grep - Extract -> Extract the following items from responses にチェックします
- Grep - Extract -> ADD で Define extract grep item 画面を開きます
- Extract from regex group にチェックします
- Case sensitive はチェックをいれたままにします
- 正規表現のテキストボックスに下記を入力します
Content\-Length\: (.*?)\r\n - OK で登録を完了させます
設定が完了したら、Intruder で Attack した時の一覧に
Content-Length が表示されるようになっていると思います。
(空文字が表示されていたら何か手順が間違えているはず…)
おわりに
Intruder を使って診断している時、HTTPレスポンスの Length で
疑似攻撃に反応があったか判断するケースがあると思います。
基本は、標準で用意されている Length を見れば問題ないのですが、
HTTPリクエストするたびに、HTTPレスポンスヘッダset-cookieで長さの異なるセッション値が付与される等、
HTTPレスポンスの Length に揺らぎが発生する場合は、個別にレスポンスを確認していくため診断の効率が落ちていました。
毎回HTTPレスポンスの詳細をチェックするのは大変なので、「いい方法ないかな」と検討した結果、本記事のやり方を採用しています。
設定後はそこまで診断の効率が落ちなくなりました。
「もっといいやり方あるよ!」とかあれば教えていただけると嬉しいです。