Приходите на отрыжку suite tool имеет встроенный сессионный механизм, все чаще я встречаю ситуации, когда я просто не могу справиться с поддержанием его активности. Чаще всего это вызвано одним из следующих факторов:
- Динамические токены CSRF, скрытые в разных местах запроса;
- Приложения на основе JavaScript (React, Angular) и API, использующие токены аутентификации;
- определенные значения заголовков вместо файлов cookie (например, JWT);
- использование двойных токенов (токенов доступа/обновления), в основном в мобильных приложениях;
Недавно я придумал отличный плагин, который значительно упрощает выполнение автоматических сканирований. Я протестировал его, среди прочего, в сценарии с токеном JWT (OAuth 2.0 / bearer token), который меняется каждые несколько минут и с чистой совестью я могу рекомендовать.
Краткое руководство по началу работы выглядит следующим образом:
- Мы улавливаем запрос, отвечающий за вход в систему (в ответ на который получаем токен носителя) и отправляем его в ATORa.
- Выбираем из ответа интересуящего нас строку и даем ей имя.
- Мы предоставляем информацию о том, как плагин может определить, что сеанс был «убит».
- Мы указываем формулу, по которой наш маркер сеанса должен быть заменен в новых запросах. Здесь мы используем регулярные выражения. Стоит заранее протестировать их на сайте regexr.
- Если вы используете дополнительные плагины для автоматического сканирования, пожалуйста, выберите это в настройках ATORa.
Плагин можно найти на Синопсис Githubie
