Hello there, ('ω')ノ
🔸 1. Payload position(ペイロード位置)
- All payload positions(すべての挿入位置)
→ このペイロード設定は、
Positionsタブで指定した全ての位置に適用されます。 Sniper攻撃の場合は常に1つずつ適用されます。
🔸 2. Payload type(ペイロードタイプ)
- Simple list(単純なリスト) → 自分で入力した文字列の一覧をそのまま順番に送信する、基本的な形式です。 最もよく使われる、初心者向けの設定です。
🔸 3. Payload count / Request count
- Payload count:入力されたペイロードの数(未入力なら0)
- Request count:送信されるリクエストの数(挿入位置との組合せで変動)
🔸 4. Payload configuration(ペイロード構成)
▶ 入力欄と操作ボタン
| ボタン | 説明 |
|---|---|
| Paste | クリップボードから一括貼り付け |
| Load... | テキストファイル(.txt)から読み込み |
| Remove | 選択行を削除 |
| Clear | 全行を削除 |
| Deduplicate | 重複した項目を自動削除 |
| Add | 1行ずつ手動入力するための欄 |
※入力されたペイロードは、この欄にリスト形式で表示され、上から順番に使用されます。
🔸 5. Payload processing(ペイロード処理)
- ペイロードを送る前に変換処理を追加できます(例:Base64エンコードやURLエンコードなど)。
操作ボタン:
| ボタン | 内容 |
|---|---|
| Add | 変換ルールを追加 |
| Edit | 追加済みルールを変更 |
| Remove | ルール削除 |
| Up / Down | ルールの適用順を変更 |
※追加しない場合、入力した文字列がそのまま送信されます。
🔸 6. Payload encoding(ペイロードのエンコード)
- HTTPリクエスト内で使われる**特殊文字をURLエンコード(%xx形式)**に変換する設定です。
オプション:
- ✅
URL-encode these characters:にチェックを入れると、右側の文字が対象になります。 - 対象文字(例):
./=<>?+&*:;"'[]()|^#`
※XSSやSQLiのテストで、安全にペイロードを送るために使用します。
✅ 使用例まとめ(右パネル)
- 「Add」に
<script>alert(1)</script>と入力 - URLエンコードが必要ならチェックをオン
- 必要に応じて Payload processing を追加
- Intruderの攻撃を開始
このように、右側の Payloadsパネルは「どんなデータを送るか」を細かく設定するための中核機能です。 この設定次第で、Burp Intruder のテスト効果が大きく変わります。
Best regards, (^^ゞ
