AutoRepeater: 助力自动化HTTP请求重复的Burp Suite扩展

简介

在Web应用安全测试领域，Burp Suite无疑是一款广泛使用的HTTP调试工具。然而，在进行授权测试时，频繁的手动请求修改和重发可能会错过一些安全问题，并降低测试效率。为此，我们推出了一个开源的Burp Suite扩展——AutoRepeater。它旨在简化和自动化这个过程，使安全研究人员可以轻松地自动复制、修改并重新发送请求，同时快速评估响应差异。

技术解析

AutoRepeater通过定义替换规则，智能地筛选出需要重发的已改变请求。当匹配到特定条件的请求时，AutoRepeater会先应用基础替换，然后为每个定义的替换复制请求并执行替换操作。这一创新设计将原本繁琐的"修改-重发"循环转变为高效自动化流程。

应用场景

示例一：测试未认证用户访问权限

你可以设置一条基本替换规则，匹配并移除"Cookie"头，以此检验未认证用户能否访问应用。

示例二：测试不同用户间的授权访问

想要检查低权限用户是否能获取高权限信息，可以针对每个会话cookie设定替换规则。记录低权限用户的cookie值，配置基础替换来匹配并替换所有cookie的值。然后，以最高权限用户的身份浏览应用，查看结果。

特色功能

1. 自动化请求复制、修改和重发。
2. 条件化替换规则。
3. 快速替换头部、cookie和参数值。
4. 分割显示的请求/响应视图。
5. 请求/响应差异对比视图。
6. 基础替换（如CSRF令牌和session cookie）以防破坏请求。
7. 标签可命名，便于管理。
8. 日志记录功能，便于回顾操作。
9. 数据导出，方便共享和备份。
10. 激活切换，按需使用。
11. 其他Burp Suite工具直接发送请求至AutoRepeater。

使用建议

确保开启AutoRepeater前已准备好开始浏览。设置好基础替换后，开始测试。每个会话结束时，尽管配置会保留，但具体数据会丢失，定期保存和导出是明智的选择。

参考资源

• 视频教程：BSides Rochester 2018 - AutoRepeater: Automated HTTP Request Repeating With Burp Suite
• 博客文章：AutoRepeater: Automated HTTP Request Repeating With Burp Suite

AutoRepeater将为你提供一种通用且高效的解决方案，无论是在测试身份验证问题还是其他可能存在的安全问题时，都能让你的工作更流畅、更精准。立即加入我们的社区，体验这款强大的Burp Suite扩展吧！