Kommen Sie Burp Suite hat einen eingebauten Sitzungshandler, ich bin zunehmend mit Situationen konfrontiert, in denen es einfach nicht damit zu tun hat, es aktiv zu halten. Dies wird am häufigsten durch einen der folgenden Faktoren verursacht:
- dynamische CSRF-Token, die an verschiedenen Request-Standorten versteckt sind;
- JavaScript-basierte Anwendungen (React, Angular) und APIs, die Authentifizierungstoken verwenden;
- spezifische Headerwerte anstelle von Cookies (z. B. JWT);
- Verwendung von Dual-Token (Zugriffs-/Aktualisierungstichen), hauptsächlich in mobilen Anwendungen;
Ich bin vor kurzem auf einen tollen Stecker gestoßen, der die Durchführung automatischer Scans erheblich erleichtert. Ich habe es unter anderem in einem Szenario mit einem JWT-Token (OAuth 2.0 /Trägertuken) getestet, das sich alle paar Minuten ändert und guten Gewissens kann ich empfehlen.
Die kurze Gebrauchsanweisung sieht wie folgt aus:
- Wir fangen die Anmeldungsanfrage (in der Antwort, die wir auf das Bearer-Token erhalten) und senden sie an ATOR.
- Wir wählen aus der Antwort die Zeichenfolge, die uns interessiert, und geben ihm einen Namen.
- Wir geben an, wie der Stecker identifizieren kann, dass die Sitzung "getötet" wurde.
- Wir geben ein Muster an, nach dem unser Sitzungstich in neuen Anforderungen ersetzt werden soll. Wir verwenden hier regelmäßige Ausdrücke. Es lohnt sich, sie zuvor auf der Regexr -Seite zu testen.
- Wenn Sie zusätzliche Plug-Ins für den automatischen Scan verwenden, markieren Sie dies in den ATORa-Einstellungen.
Der Stecker ist auf Githubie synopsys zu finden
