げっぷスイートツールに来て、組み込みのセッションメカニズムを持って、ますます頻繁に私はちょうどそれをアクティブに保つことに対処できない状況を満たしています。 これは、次のいずれかの要因によって発生することがよくあります。
- 要求の異なる場所に隠された動的 CSRF トークン。
- 認証トークンを使用する JavaScript ベースのアプリケーション (反応、角度) と API。
- クッキーの代わりに特定のヘッダー値(例えば、 JWT);
- 主にモバイルアプリケーションでのデュアルトークン(アクセス/リフレッシュトークン)の使用。
最近、自動スキャンを実行するのがはるかに簡単になる素晴らしいプラグインを思いつきました。 私は、とりわけ、JWTトークン(OAuth 2.0 /ベアラートークン)を持つシナリオで、数分ごとに変更され、明確な良心でお勧めできることをテストしました。
クイック スタート ガイドは次のようになります。
- ログインの責任を負うリクエストをキャッチし(ベアラートークンを取得する応答で)、ATORaに送信します。
- 私たちは答えから私たちに興味のある文字列を選択し、それに名前を付けます。
- プラグインがセッションが「殺された」ことを識別する方法を提供します。
- 新しい要求でセッション トークンを置き換える式を指定します。 ここでは正規表現を使用します。 それは正規表現のウェブサイト上で事前にそれらをテストする価値があります。
- 自動スキャン用に追加のプラグインを使用する場合は、ATORa 設定で選択してください。
プラグインはGithubieシノプシスで見つけることができます
