Vamos herramienta de suite de eructos tiene un mecanismo de sesión incorporado, cada vez más a menudo me encuentro con situaciones en las que simplemente no puedo hacer frente a mantenerlo activo. Esto suele deberse a uno de los siguientes factores:
- Tokens CSRF dinámicos ocultos en diferentes lugares de la solicitud;
- Aplicaciones basadas en JavaScript (React, Angular) y API que utilizan tokens de autenticación;
- valores de encabezado específicos en lugar de cookies (por ejemplo, JWT);
- uso de tokens duales (tokens de acceso/actualización), principalmente en aplicaciones móviles;
Recientemente, se me ocurrió un gran plugin que hace que sea mucho más fácil llevar a cabo escaneos automáticos. Lo probé, entre otras cosas, en un escenario con un token JWT (OAuth 2.0 / token de portador), que cambia cada pocos minutos y con la conciencia tranquila que puedo recomendar.
La guía de inicio rápido tiene este aspecto:
- Capturamos la solicitud responsable de iniciar sesión (en respuesta a la cual obtenemos el token de portador) y la enviamos a ATORa.
- Seleccionamos de la respuesta una cadena que nos interesa y le damos un nombre.
- Proporcionamos cómo el plugin puede identificar que la sesión ha sido "asesinada".
- Indicamos la fórmula por la cual nuestro token de sesión debe ser reemplazado en las nuevas solicitudes. Aquí usamos expresiones regulares. Vale la pena probarlos de antemano en el sitio web de regexr.
- Si utiliza plug-ins adicionales para el análisis automático, selecciónelo en la configuración de ATORa.
El plugin se puede encontrar en Githubie synopsys
