burp suit的intruder攻擊共有四種模式,如圖所示,下面分別講講這四種模式的使用方法和場景。
一 、Sniper模式
Sniper模式使用一組payload集合,它一次只使用一個payload位置,假設你標記了兩個位置“A”和“B”,payload值為“1”和“2”,那么它攻擊會形成以下組合(除原始數據外):
| 攻擊序列 | 位置A | 位置B |
| 1 | 1 | no replace |
| 2 | 2 | no replace |
| 3 | no replace | 1 |
| 4 | no replace | 2 |
這種模式主要適用於:競爭條件測試(選擇Null payloads),密碼、驗證碼暴力破解,重放攻擊等場景。
二、Battering ram模式
Battering ram模式與狙擊手模式類似的地方是,同樣只使用一個payload集合,不同的地方在於每次攻擊都是替換所有payload標記位置,而狙擊手模式每次只能替換一個payload標記位置。
| 攻擊序列 | 位置1 | 位置2 |
| 1 | payload1 | payload1 |
| 2 | payload2 | payload2 |
這種模式主要適用於:撞褲。
三、Pitchfork模式
草叉模式允許使用多組payload組合,在每個標記位置上遍歷所有payload組合,假設有兩個位置“A”和“B”,payload組合1的值為“1”和“2”,payload組合2的值為“3”和“4”,則攻擊模式如下:
| 攻擊序列 | 位置A | 位置B |
| 1 | payload1 | payload3 |
| 2 | payload2 | payload4 |
這種模式主要適用於:惡意注冊。
四、Cluster bomb模式
集束炸彈模式跟草叉模式不同的地方在於,集束炸彈模式會對payload組進行笛卡爾積,還是上面的例子,如果用集束炸彈模式進行攻擊,則除baseline請求外,會有四次請求:
| 攻擊序列 | 位置A | 位置B |
| 1 | payload1 | payload3 |
| 2 | payload1 | payload4 |
| 3 | payload2 | payload3 |
| 4 | payload2 | payload4 |