Fuzz testing是生成大量数据并且对系统产生大量异常请求,通过大量恶意请求查找漏洞。在这个过程中我们可以依赖于部分工具来实现参数化,本文以burpsuite为工具以文件上传为例
拦截请求启动burpsuite并且开启代理后请求一次文件上传,进入BurpSuite → Proxy →HTTP history,右键点击刚才的请求选择Send to Intruder
进入Intruder→Positions,可以看到请求参数中有"§"符号包裹的内容,被包裹的内容就是需要被参数替换的内容。
我们通过增加删除“§”符号来更改自己需要参数化的参数,此处修改文件结尾符
Intruder→Payloads→Payloads Options→Add,添加我们需要的变更的参数
选择右上角start attack启动运行,选择ok
我们可以看到修改参数后的请求发送出去,可以通过查看response报文来看在接口响应是否符合预期结果
