Proxy(代理伺服器)最常用
用途:攔截和修改 HTTP/S 流量
主要功能:
瀏覽器流量攔截
請求/回應即時修改
HTTPS 解密
歷史記錄查看
應用場景:
修改表單參數(價格、數量、權限)
竄改 Cookie 和 Session
測試輸入驗證繞過
Repeater(重發器)
用途:手動重複發送和修改請求
特色:
反覆測試 payload
即時查看回應
多標籤同時測試
應用場景:
SQL 注入 payload 測試
不同參數組合驗證
API 端點安全性測試
Intruder(入侵者)
用途:自動化參數攻擊和暴力破解
攻擊模式:
Sniper - 單一參數多個值
Battering ram - 多參數相同值
Pitchfork - 多參數各自的值清單
Cluster bomb - 多參數值組合
應用場景:
密碼暴力破解
SQL 注入字典攻擊
枚舉使用者名稱
測試 OTPS
Scanner(掃描器) 專業版功能
用途:自動化漏洞掃描
檢測類型:
SQL 注入
XSS 跨站腳本
CSRF 跨站請求偽造
檔案包含漏洞
伺服器設定錯誤
Decoder(解碼器)
用途:資料編碼/解碼轉換
支援格式:
URL 編碼
Base64
HTML 實體
Hex 十六進位
雜湊值破解輔助
Comparer(比較器)
用途:比較兩個請求/回應的差異
應用場景:
比較登入成功/失敗回應
尋找隱藏參數
分析時間基礎的盲注
Sequencer(序列分析器)
用途:分析 Session Token 的隨機性
檢測目標:
Session ID
CSRF Token
重置令牌的強度
Extender(擴展功能)
用途:安裝外掛擴充功能
熱門擴展:
Logger++ - 增強日誌功能
Autorize - 自動化授權測試
Param Miner - 尋找隱藏參數
實戰工作流程:
Proxy 攔截 → 瀏覽網站收集請求
Scanner 掃描 → 自動化漏洞發現
Repeater 手動驗證 → 確認漏洞真實性
Intruder 擴大測試 → 參數暴力破解
Decoder 輔助分析 → 編碼解碼處理