Hello there,
Burp Suiteの『Intruder』タブの中に『Positions』タブがあって。
Attack typeが下記のように4つあるのですが。
・Sniper
・Battering ram
・Pitchfork
・Cluster bomb
たとえば、攻撃するためのワードリストが以下のように用意してあると。
・WordList_A.txt
・WordList_B.txt
■Sniper
ワードリスト:単数使用
攻撃パターン:
1回目のリクエスト:param1=WordList_A[0] & param2=
2回目のリクエスト:param1=WordList_A[1] & param2=
:
※1つ目のパラメータ終了後に2つ目のパラメータへ
1回目のリクエスト:param1= & param2=WordList_A[0]
2回目のリクエスト:param1= & param2=WordList_A[1]
:
■Battering ram
ワードリスト:単数使用
攻撃パターン:
1回目のリクエスト:param1=WordList_A[0] & param2=WordList_A[0]
2回目のリクエスト:param1=WordList_A[1] & param2=WordList_A[1]
:
※2つのパラメータに同じワードリストを
■Pitchfork
ワードリスト:複数使用
1回目のリクエスト:param1=WordList_A[0] & param2=WordList_B[0]
2回目のリクエスト:param1=WordList_A[1] & param2=WordList_B[1]
3回目のリクエスト:param1=WordList_A[2] & param2=WordList_B[2]
:
※2のパラメータに各々のワードリストを
■Cluster bomb
ワードリスト:複数使用
1回目のリクエスト:param1=WordList_A[0] & param2=WordList_B[0]
2回目のリクエスト:param1=WordList_A[1] & param2=WordList_B[0]
3回目のリクエスト:param1=WordList_A[2] & param2=WordList_B[0]
:
※1つ目のパラメータ終了後に2つ目のパラメータを変更
1回目のリクエスト:param1=WordList_A[0] & param2=WordList_B[1]
2回目のリクエスト:param1=WordList_A[1] & param2=WordList_B[1]
3回目のリクエスト:param1=WordList_A[2] & param2=WordList_B[1]
:
なので、IDがわかっていてパスワードのみへの攻撃の際は、『Sniper』を。
IDとパスワードの両方の場合は、『Cluster bomb』となるのかと。
Best regards,