Burp的工作

Question

我想知道打嗝是如何决定攻击是否成功的。

当我通过burp发送请求时，服务器将http响应代码设为500，这意味着什么？

1. 会话丢失
2. 攻击失败
3. 攻击成功，妨碍了应用程序的工作
4. 应用程序中的安全筛选器停止了攻击。

在攻击成功或不成功的情况下，理想的响应代码应该是什么？

Answer 1

500 -是内部服务器错误，所以正如其中一条评论所说的，它取决于。

你应该真正理解你攻击的应用程序在不同的输入下会做什么。也就是说，你需要画出一个丢失的会话是什么样子的，什么样的攻击是成功的，等等。或者至少是它得到的好屁股。当您这样做时，您通常可以通过查看响应和不同的细节来区分不同的情况，例如内容长度标题等。

如果没有更多的信息，很难给你一个更好的答案。

我会安装该产品的测试版本，并首先在我自己的环境中执行不同的测试。通过这种方式，您可以了解到在应用程序中发生了什么，提供了不同的输入，以及如何在不同的情况下进行区别。

(无论如何，如果您无法访问日志，您应该考虑测试的道德规范部分(除非执行黑匣子测试)，那么您应该已经知道这一点了。)