![Schemat działania wtyczki ATOR](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_846,h_533/https://my127001.pl/wp-content/uploads/2020/08/how-ator-burp-plugin-works.jpg)
Chodź narzędzie Burp Suite posiada wbudowany mechanizm obsługi sesji, coraz częściej spotykam się z sytuacjami, gdzie po prostu sobie nie radzi z utrzymaniem jej aktywnej. Jest to najczęściej spowodowane jednym z poniższych czynników:
- dynamiczne tokeny CSRF ukryte w różnych miejscach requestu;
- aplikacje oparte na JavaScript (React, Angular) i interfejsy API używające tokenów uwierzytelniających;
- specyficzne wartości nagłówka zamiast ciasteczek (np. JWT);
- stosowanie podwójnych tokenów (tokeny dostępu / odświeżania), głównie w aplikacjach mobilnych;
Niedawno wpadłem na świetną wtyczkę, która znacząca ułatwia przeprowadzenie automatycznych skanów. Przetestowałem ją między innymi w scenariuszu z tokenem JWT (OAuth 2.0 / bearer token), który zmienia się co kilka minut i z czystym sumieniem mogę polecić.
Skrócony instrukcja użycia, wygląda następująco:
- Łapiemy żądanie odpowiedzialne za logowanie (w odpowiedzi, którego uzyskujemy bearer token) i wysyłamy go do ATORa.
![Wyślij istniejącą odpowiedź logowania do ATOR](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_846,h_444/https://my127001.pl/wp-content/uploads/2020/08/send-existing-response-to-ator.png)
- Wybieramy z odpowiedzi ciąg, który nas interesuje i nadajemy mu jakąś nazwę.
![Wyodrębnij token dostępu z odpowiedzi](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_846,h_409/https://my127001.pl/wp-content/uploads/2020/08/extract-token-from-response.png)
- Podajemy w jaki sposób wtyczka może zidentyfikować, że sesja została „zabita”.
![Ustaw typ błędu jako kod stanu = 401](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_846,h_427/https://my127001.pl/wp-content/uploads/2020/08/set-status-code-401.png)
- Wskazujemy wzór według, którego w nowych żądaniach ma zostać zastąpiony nasz token sesyjny. Używamy tutaj wyrażeń regularnych. Warto je wcześniej przetestować na stronie regexr .
![Ustaw obszar wymiany](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_846,h_250/https://my127001.pl/wp-content/uploads/2020/08/set-replacement-area.png)
- Jeżeli korzystamy z dodatkowych wtyczek przy automatycznym skanowaniu, należy zaznaczyć to w ustawieniach ATORa.
![Ustaw extender](https://sp-ao.shortpixel.ai/client/to_auto,q_lossy,ret_img,w_973,h_317/https://my127001.pl/wp-content/uploads/2020/08/image.png)
Wtyczkę można znaleźć na Githubie synopsys