La aplicación que estoy ejecutando una evaluación de seguridad en codifica las solicitudes POST de la siguiente manera:
POST /foo/save HTTP/1.1
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Content-Length: 6652
<snip>
bar={"options"%3a{"key"%3a"26b678c6-1d75-41c0-8a20-d9882828c76c","description"%3a"Foo"...<snip>&key=26b678c6-1d75-41c0-8a20-d9882828c76c
es decir, Un parámetro que contiene JSON se inserta en la clave bar , por lo tanto está codificado en JSON y luego codificado en porcentaje.
¿Hay una manera de codificar automáticamente las cargas útiles utilizando Burp para su uso en Intruder? La única forma que se me ocurre es ejecutar primero las cargas útiles a través de la codificación hexadecimal de JavaScript, luego cargar la lista codificada en Burp y luego codificar mediante URL desde allí. ¿Hay algo construido en que haría esto? Lo más cercano que encontré fue la "cadena construida de Javascript", sin embargo, esto no es adecuado para su uso en JSON.
Entonces, para resumir, necesito que la carga útil sea una entidad hexagonal JSON codificada y luego una URL codificada (Burp hace esto último fácilmente, por lo que la codificación JSON es el bit que necesito).