はじめに
おぼえがきです。
Burp Suite で脆弱性診断中のリクエストを確認していたときに1つのパラメータだけものすごい長い値が入っていました。( URLエンコード済み & サイズが200KB超え )
ひとまず中身を確認したかったのですが decorder に値をつっこむと完全に沈黙したため、 VSCode で実施しました。
環境
Windows 11 Pro 10.0.22631 ビルド 22631
openJDK 21.0.5
burpsuite_pro_v2024.9.3.jar
VSCode 1.96.2
Encode Decode
手順
新しいテキストファイルを開いて、対象の文字列を貼り付け、右クリック
Convert Selection > Encoded Url to String
でできました。
シンプル!
改ざんした後は逆にエンコードしてあげれば良さそうですね。
問題の値(sample)
こういう感じの値でした。
%5B%7B%22aaaa%22%3A%221111%22%2C%22bbbb%22%3A%222222%22%2C%22cccc%22%3A%223333%22%2C%22dddd%22%3A%224444%22%7D%2C....
変換後の値(sample)
こういう感じの値になりました。実際は日本語の値も混じっており、サイズが肥大化しやすかった。
[{"aaaa":"1111","bbbb":"2222","cccc":"3333","dddd":"4444"},....
おわりに
改ざんの対象にはなるのですが、どうみても固定値だったのでサーバーで保持してほしいなと思いました。