以下の内容をメモ

Testing only specefied parameter. - Google Groups

もう少し正確に言うと、リクエストヘッダ・ボディ内に存在している特定の文字列を指定してアクティブスキャンする方法です。各テストでは、指定した文字列の部分に攻撃ベクタがセットされてHTTPリクエストが送信されます。

手順

1. [Sites]タブ / [History] タブ 上で目的のリクエストを右クリックし、[Attack] -> [Active Scan advanced…] を選択する。
2. [Scope]タブページで、[Recurse] のチェックを外す。
3. [Custom Vectors]タブページで、攻撃したい部分を選択状態にして、[Add]ボタン([追加]ボタン)をクリックする。
4. 下にある [Disable non custom input vectors] にチェックを入れる。
5. テスト項目を選ぶ場合は、[Policy]タブ内で項目を変更する。
6. [Start Scan] ボタンを押して、Active Scan を開始する。

この機能は何をしているのか？

• リクエストヘッダ・ボディ内で指定した文字列の位置を保持させている。
• これにより、各テスト項目のscanメソッドにおいて、リクエストヘッダ・ボディ内の指定した位置に、攻撃ベクタを挿入することができるようになっている。
• この処理においては、位置が分かれば良いので「パラメータ名」はなくても問題ない。

[最終更新日: 2014年10月24日]