Venez l’outil Burp Suite a un mécanisme intégré de gestion de session, de plus en plus je rencontre des situations où il ne peut tout simplement pas le garder actif. Ceci est le plus souvent dû à l’un des facteurs suivants:
- jetons dynamiques CSRF cachés à différents endroits de la demande;
- applications basées sur JavaScript (React, Angular) et API utilisant des jetons d’authentification ;
- valeurs spécifiques de l’en-tête au lieu des cookies (par exemple JWT);
- utilisation de jetons doubles (jetons d’accès/rafraîchissement), principalement dans les applications mobiles;
J’ai récemment rencontré une grande prise qui rend beaucoup plus facile d’effectuer des scans automatiques. Je l’ai testée, entre autres choses, dans un scénario avec un jeton JWT (OAuth 2.0 / jeton porteur) qui change toutes les quelques minutes et avec une conscience claire, je peux recommander.
Le mode d’emploi abrégé est le suivant:
- Nous attrapons la demande de connexion responsable (en réponse, que nous obtenons un jeton de porteur) et l’envoyons à ATORa.
- Nous choisissons parmi les réponses une chaîne qui nous intéresse et lui donnons un nom.
- Nous donnons comment le plug-in peut identifier que la session a été « tué ».
- Nous indicons le modèle selon lequel notre jeton de session doit être remplacé dans les nouvelles demandes. Nous utilisons ici des expressions régulières. Ils valent la peine d’être testés à l’avance sur le site regexr .
- Si vous utilisez des plug-ins supplémentaires lors de la numérisation automatique, cochez cette option dans les paramètres ATORa.
Le plug-in peut être trouvé sur Github synopsys
