burp repeater作为burp suite中一款验证HTTP消息的测试工具,通常用于多次重放请求响应和手工修改请求消息的修改后对服务器端响应的消息分析
下面具体来看repeater的使用
在渗透测试过程中,我们经常使用repeater来进行请求与响应的消息验证分析,比如修改请求参数,验证输入的漏洞;修改请求参数,验证逻辑越权;从拦截历史记录中,捕获特殊的请求消息进行重放。总而言之,repeater的用法很简单,可以将新抓的数据包 sent to repeater ,也可已从拦截的历史记录中sent to repeater;主要的作用修改参数和请求消息的重放(重放是repeater的一大特色)
请求消息区为客户端发送的请求消息的详细信息,Burp Repeater为每一个请求都做了请求编 号,当我们在请求编码的数字上双击之后,可以修改请求的名字,这是为了方便多个请求消 息时,做备注或区分用的。
服务器的请求域可以在target处进行修改
应答消息区为对应的请求消息点击【GO】按钮后,服务器端的反馈消息。通过修改请求消息 的参数来比对分析每次应答消息之间的差异,能更好的帮助我们分析系统可能存在的漏洞。
在我们使用Burp Repeater时,通常会结合Burp的其他工具一起使用,比如Proxy的历史记 录,Scanner的扫描记录、Target的站点地图等,通过其他工具上的右击菜单,执行【Send to Repeater】,跳转到Repeater选项卡中(或者使用快捷键ctrl+r来实现),然后才是对请求消息的修改以及请求重放、数据 分析与漏洞验证。