Салам Алейкум, усім! 🌟 Спочатку хочу подякувати всім моїм новим підписникам, ваша підтримка справді мотивує мене ділитися більше статтями та ідеями з громадою. Сьогодні я з нетерпінням хочу поділитися чудовим прийомом, який став для мене переломним на початку мого шляху…
Давайте зануримось
Що таке Match and Replace?
Match and Replace — це інструмент у Burp Suite. Він працює як простий робот: ви вказуєте, що знайти ( «match») і на що замінити ( «replace»). Наприклад, ви можете налаштувати його, щоб автоматично змінювати кожне "No" на "Yes". Це економить час і спрощує тестування.
Яка найкраща частина цього прийому (для мене)?
Багато хакерів використовують Match and Replace для різних типів багів, але для мене найкраща частина полягає в тому, що Match and Replace — це дуже потужний інструмент при тестуванні API.
Чому?
Структура JSON або JavaScript, особливо в RESTful API, часто включає параметри на кшталт:
isAdmin: falseisPaid: truehasBeenVoted: false
Але як ця інформація може допомогти мені отримати перший баг?
Іноді ви можете знайти критичні баги, просто розуміючи відповідь API та використовуючи Match and Replace. Повірте, багато хакерів так робили (включаючи мене! 😘). Давайте розглянемо приклад, щоб краще зрозуміти:
Приклад:
Уявіть, що ви відкриваєте сторінку з різними типами привілеїв користувачів. Скажімо, ваша поточна роль — "гість". Ви відкриваєте Burp Suite і захоплюєте наступний JSON payload у відповіді:
{
"company": "HackMe",
"isAdmin": "false",
"isModerator": "false",
"isGuest": "true"
У користувацькому інтерфейсі, як гість, ви бачите лише обмежені можливості, такі як можливість коментувати. Ви не можете видаляти або редагувати пости інших учасників.
1. змінивши це, ви побачите зміни в інтерфейсі: з гостя на адміністратора (розблоковуються функції редагування постів і все, що пов’язано з інтерфейсом адміністратора)
2. тепер спробуйте ці API виклики і перевірте, які з них є дійсними та отримайте свою винагороду 🤑
Поради, які я використовую для кожної цілі кожного разу з цим інструментом
Кожного разу, тестуючи нову ціль, я завжди пробую це:
MATCH: False → True
Іноді результати мене приємно здивують!
- Легкі випадки: Іноді дуже легко зробити API виклики.
- Складні випадки: Інколи це складніше, але Match and Replace дуже допомагає знаходити ці API виклики.
Пам’ятайте:
Ви можете спробувати це з будь-яким JSON payload. Найкращі результати відбуваються, коли зміна значень також змінює UI. Чому? Тому що такий тип багу зазвичай виникає через бекенд, який неправильно перевіряє дані.
Найкращі посилання:
Перекладено з: Get Your First Bug Bounty with Burp Suite’s Match and Replace Feature 😲