Burp Suite的Comparer工具提供了一个可视化的差异比对功能,用于对比分析两次数据之间的区别。使用场景包括枚举用户名的过程,对比分析登录和失败时,服务器端返回结果的区别,使用Intruder进行攻ji时,对于不同的服务器端响应,可以很快分析出两次响应的区别在哪里,进行SQL注入的盲注测试时,比较两次响应的差异,判断响应结果与注入条件的关联关系。使用Comparer时有两个步骤:第一步是加载数据,第二步是差异分析。数据加载的常用方式包括从其他Burp工具通过上下文菜单转发过来、直接粘贴、从文件里加载。以下是一个使用Comparer的例子:
1.从Proxy历史记录中选择两个请求,右键选择“Send to Comparer”。
2.在Comparer中,选择左侧的请求,右侧的请求,或者两侧都选择,然后点击“Compare”。此时,左右两侧的差异将会以颜色标记的方式显示出来。
3,可以通过在左右两侧的请求上选择不同的参数,来比较它们之间的差异。也可以通过在下方的“Comparison options”中选择不同的比较选项,来控制比较的细节。
Burp Comparer在Burp Suite中主要提供一个可视化的差异比对功能,来对比分析两次数据之间的区别。使用中的场景可能是: 1.枚举用户名过程中,对比分析登陆成功和失败时,服务器端反馈结果的区别。2.使用 ntruder 进行攻ji时,对于不同的服务器端响应,可以很快的分析出两次响应的区别在哪里。3,进行SQL注入的盲注测试时,比较两次响应消息的差异,判断响应结果与注入条件的关联关系。
其界面如下图:
比较模块主界面
首先发送链接到比较模块
设置软件字体
设置http编码
若http中文出现乱码,可以设置为微软雅黑或者 宋体
设置字符集
快捷键和日志
项目缓存和拦截设置