ATOR – प्रमाणीकरण टोकन प्राप्त करें और प्रतिस्थापित करें – जटिल सत्र तंत्र के लिए बर्प सुइट प्लग-इन

ATOR प्लग-इन योजना

बर्प सुइट टूल पर आओ एक अंतर्निहित सत्र तंत्र है, अधिक से अधिक बार मैं उन स्थितियों को पूरा करता हूं जहां मैं इसे सक्रिय रखने के साथ सामना नहीं कर सकता हूं। यह अक्सर निम्नलिखित कारकों में से एक के कारण होता है:

  • डायनेमिक सीएसआरएफ टोकन अनुरोध के विभिन्न स्थानों में छिपा हुआ है;
  • जावास्क्रिप्ट-आधारित अनुप्रयोग (प्रतिक्रिया, कोणीय) और एपीआई जो प्रमाणीकरण टोकन का उपयोग करते हैं;
  • कुकीज़ के बजाय विशिष्ट हेडर मान (उदाहरण के लिए जेडब्ल्यूटी);
  • मुख्य रूप से मोबाइल अनुप्रयोगों में दोहरे टोकन (एक्सेस/रिफ्रेश टोकन) का उपयोग;

हाल ही में, मैं एक महान प्लगइन के साथ आया जो स्वचालित स्कैन करना बहुत आसान बनाता है। मैंने अन्य बातों के साथ-साथ जेडब्ल्यूटी टोकन (ओऑथ 2.0 / बेयरर टोकन) के परिदृश्य में इसका परीक्षण किया, जो हर कुछ मिनटों में बदलता है और एक स्पष्ट विवेक के साथ मैं सिफारिश कर सकता हूं।

त्वरित शुरुआत गाइड इस तरह दिखता है:

  • हम लॉग इन करने के लिए जिम्मेदार अनुरोध को पकड़ते हैं (जिसके जवाब में हमें वाहक टोकन मिलता है) और इसे एटीओआरए को भेजते हैं।
ATOR के लिए एक मौजूदा लॉगिन प्रतिक्रिया भेजें
  • हम उत्तर एक स्ट्रिंग से चुनते हैं जो हमें रुचि देता है और इसे एक नाम देता है।
प्रतिक्रिया से एक्सेस टोकन निकालें
प्रतिक्रिया से एक्सेस टोकन निकालें
  1. हम प्रदान करते हैं कि प्लगइन कैसे पहचान सकता है कि सत्र को "मार डाला" गया है।
स्थिति कोड के रूप में त्रुटि प्रकार सेट करें = 401
स्थिति कोड के रूप में त्रुटि प्रकार सेट करें = 401
  1. हम उस सूत्र को इंगित करते हैं जिसके द्वारा हमारे सत्र टोकन को नए अनुरोधों में प्रतिस्थापित किया जाना है। हम यहां नियमित भावों का उपयोग करते हैं । यह रेगेक्सर वेबसाइट पर पहले से परीक्षण करने लायक है।
एक्सचेंज एरिया सेट करें
एक्सचेंज एरिया सेट करें
  • यदि आप स्वचालित स्कैनिंग के लिए अतिरिक्त प्लग-इन का उपयोग करते हैं, तो कृपया इसे एटीओआरए सेटिंग्स में चुनें।
सेट एक्सटेंडर

प्लगइन गिथुबी सारांश पर पाया जा सकता है

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Bookmark the permalink.

प्रातिक्रिया दे

आपका ईमेल पता प्रकाशित नहीं किया जाएगा. आवश्यक फ़ील्ड चिह्नित हैं *