Request & Response – čtení HTTP komunikace

Zachytit request je začátek. Důležitější je pochopit, co ti server posílá zpátky a co se skrývá pod povrchem aplikace.

Response hlavičky

HTTP response headers obsahují metadata odpovědi – status kód, informace o serveru, cookies, cache direktivy a bezpečnostní hlavičky. Z pentestingového pohledu jsou hlavičky často první místo, kde aplikace prozradí více, než by měla.

Response body

Tělo odpovědi obsahuje samotný obsah – HTML, JavaScript, JSON. V Burpu si můžeš prohlédnout raw response i renderovanou verzi. JavaScript v response je zvláště zajímavý – endpointy, komentáře, logika na straně klienta.

Decoder – Base64 a další encoding

Base64 je encoding, ne šifrování. Data jsou pouze převedená do jiného formátu, ne zabezpečená. V HTTP komunikaci se Base64 objevuje běžně – v cookies, tokenech, parametrech. Burp Decoder umožňuje rychle dekódovat a enkódovat data v různých formátech přímo bez externích nástrojů.

Inspector a Notes

Inspector rozděluje request/response na přehledné části – hlavičky, parametry, cookies – a umožňuje rychlé úpravy bez manuální editace raw textu.

Notes slouží k anotaci zachycených requestů. Při delším testování se hodí označit si zajímavé requesty a udržet přehled o tom, co už jsi prozkoumal.

Co bude dál

V další kapitole se zaměříme na autentizaci a práci se slovníky.