在授权测试、接口参数验证、登录逻辑排查，还有输入边界检查这些工作里面，经常会碰到Intruder的位置要怎么去标记，还有它的有效载荷，又要怎么去组合的问题，Intruder它最核心的思路，是把一条HTTP的请求，当成一个最基础的模板，然后，在提前指定好的那几个位置上，把各种各样的有效载荷给替换进去，最后再去看一看，服务器返回来的响应，有什么不一样的地方；按照官方文档的说明，有效载荷要放进去的位置，是用一对特殊的符号给包起来的，而攻击的类型，就决定了这些有效载荷，到底是怎么被分配到不同位置上去的，使用这个功能的时候，一定要把它限制在自己有权限去测试的那些系统里面，可千万别把它当成一个可以随便去压测，或者是撞库的工具来用。

　　一、Intruder的位置要怎么标记

　　在给Intruder标记位置的时候，要先找准到底哪个地方才是变量的位置，然后再来决定，是只做单点的测试，还是去做那种好几个点联动的测试，要是位置一开始就选错了，那后面就算准备了再多的有效载荷组合，打出去的请求，也很有可能全都是无效的。

　　1、从代理里面把请求给发过去

　　先在代理功能下面的HTTP历史记录里面，找到那条我们要测试的请求，去确认一下它的方法、路径、参数、Cookie，还有请求的正文，这些东西都是完整的，然后，对着这条请求点一下右键，去选择把它发送到Intruder里面去，这条请求，就会进到Intruder自己的一个新标签页里了，官方给出的入门流程，也是先从HTTP的历史记录里选好一条请求，然后再把它发送到Intruder里面，去设置有效载荷要放置的位置。

　　2、把自动标记出来的位置，给清理一下

　　进到Intruder以后，先把位置那个设置区域给打开，去检查一下，里面自动带出来的那些位置标记，是不是太多了，Burp有时候，会把好多个参数都给标出来，可实际上，我们这一次要测的，可能就只是其中的一个字段，这个时候，就可以去点一下全部清除的按钮，然后再手动地去选中，那个真正想要替换掉的值，接着再去点一下添加标记的按钮，给它加上去。

　　3、只在参数的那个值上面做标记

　　在动手标记的时候，尽量只去选中参数的值本身，不要把参数的名字、等号，还有那些连接用的符号，也给一块儿包进去了，比如说，在测试用户编号的时候，只去标记那个具体的数字；在测试JSON里面字段的时候，只去标记字段后面跟着的那个值，官方文档也说明过，在执行的时候，那个标记符号，还有它里面原来的文本，是会被有效载荷给替换掉的，所以，选的范围要是太大了，就会把请求本来的结构给破坏掉。

　　4、对那种比较复杂的请求，要分层去处理

　　要是请求的正文，是JSON、XML，或者是那种多部分的表单内容，那就可以先选中其中一小块的内容，然后再去用自动标记的功能，让Burp只在你选中的那个范围里面，去识别可以放标记的位置，这么做，就能避免把整条请求都给打散掉，也方便到了后面，去判断到底是哪一个字段的变化，才导致服务器返回了不同的响应。

　　二、Intruder的有效载荷要怎么组合

　　有效载荷到底要怎么去组合，这得看我们测试的目的是什么，不能一上来，就什么也不管地把手里所有的字典，全都给一股脑儿地塞进去，Intruder里面常见的模式有好几种，像狙击手、攻城锤、干草叉，还有集束炸弹，不同的模式，对应着不一样的组合逻辑。

　　1、只测一个字段的时候，用狙击手这种模式

　　要是只想单独去测试一个参数，比如某个编号、关键词、状态值，或者是页码，那去选狙击手这个模式就行了，它会用一套有效载荷，去一个接一个地替换掉你标记好的那些位置，跑出来的结果看着很清楚，数量也容易控制得住，要是在好几个位置上都用了狙击手，那它就会在这几个位置之间，轮流地去替换，这个模式很适合先拿来判断一下，到底哪一个字段，对变化会更加敏感一些。

　　2、好几个位置要放同一个值的时候，就用攻城锤这种模式

　　要是请求里面，有好几个不同的位置，都必须用同一个值，比如，URL参数里面，和请求的正文里面，都出现了同一个编号，那就可以去用攻城锤这个模式，它会把这同一个有效载荷，在同一时间里，给塞进所有被标记出来的位置里面去，这个模式，就比较适合拿来检查一下，前后的参数，是不是被做了一致性的校验。

　　3、好几个位置要一一对应的时候，就用干草叉这种模式

　　要是有两个位置，它们里面的值需要成对地发生变化，比如，账号和跟它对应的编号、地区和跟它对应的编码，那就可以去用干草叉这个模式，它会让你准备的第一组有效载荷，和第二组有效载荷，按照行的顺序，同步地去组合，第一行配第一行，第二行配第二行，它并不会去生成所有可能的、那种交叉的组合。

　　4、要做全组合测试的时候，就用集束炸弹这种模式

　　要是需要去测试，好几个字段之间，所有可能的组合情况，那就可以用集束炸弹这个模式，它会把你放进去的不同的有效载荷集合，拿来做交叉的组合，覆盖得会更加全面，但是，请求的数量，也会跟着明显地往上涨，在用这个模式之前，要先大概估算一下会产生多少的请求量，免得给测试的环境，带来一些不必要的压力。

　　三、Intruder的结果要怎么判断

　　当位置和有效载荷，全都设置好了以后，接下来关键的一步，并不是去盯着看它有没有返回成功，而是要拿返回来的响应，去做仔细的比较，Intruder的结果页面里，会把请求的编号、攻击的位置、用到的有效载荷、还有返回的状态码这些信息，都给显示出来，这样就很方便我们去排序和筛选。

　　1、先去瞅一眼状态码和响应的长度

　　要是发现某一些有效载荷，返回来的状态码，或者响应的长度，跟别的有着很明显的不同，那就要优先去点开它看一看，长度发生了变化，这不一定就代表着有漏洞，但是，它通常能够说明，服务器那边处理请求的路径，发生了变动。

　　2、再去仔细看一看响应体里面，到底有什么不一样

　　可以去关注一下，响应里面带着的错误提示、跳转的地址、权限相关的提示、业务上的字段，还有页面上返回来的片段，不要只凭着一个状态码，就匆忙地下结论，有很多接口，哪怕它返回的是成功的状态码，也有可能在响应体的内容里面，已经把不同的状态给暴露出来了。

　　3、去用一用有效载荷的那些处理规则

　　要是准备好的有效载荷，在发出去之前，还需要去加上一些前缀、后缀，替换掉一些字符，或者是去做一下编码的处理，那就可以到有效载荷侧边栏的处理设置里面，去添加相应的规则；官方的文档里面，也提供了像添加前缀、后缀、去做匹配替换、截取一部分，还有进行编码，这些处理的方式。

　　总结

　　BurpSuite Intruder的位置要怎么去标记，这里面最关键的一步，就是得从一条完整的HTTP请求里面，只把那些真正需要被替换掉的参数值，给挑出来做上标记，要避免因为标记的范围不对，而弄坏了请求本来的结构；而Intruder的有效载荷又要怎么去组合，它的重点，则是得按照测试的目的，去选择狙击手、攻城锤、干草叉，或者是集束炸弹，这几类不同的模式，先在小的范围里面做一下验证，然后再去把组合的范围给扩大，最后，再结合着状态码、响应的长度，还有响应体里面的内容，去判断它们之间的差异，这么一套做下来，得到的结果就会更加容易看懂，也更方便被整理成正式的测试记录。