来吧,打嗝套件工具有一个内置的会话机制,越来越多的情况下,我遇到的情况,我只是无法应付保持它活跃。 这通常是由以下因素之一造成的:
- 隐藏在请求不同位置的动态CSRF令牌;
- 基于 JavaScript 的应用程序(反应、角度)和使用身份验证令牌的 API;
- 特定的标头值,而不是饼干(例如 JWT);
- 使用双重令牌(访问/刷新令牌),主要在移动应用程序中;
最近,我想出了一个伟大的插件,使它更容易进行自动扫描。 除其他事项外,我测试了它,在一个场景与JWT令牌(OAuth 2.0/无记名),它每隔几分钟改变一次,并有一个明确的良心,我可以推荐。
快速启动指南看起来像这样:
- 我们捕获负责登录的请求(响应时,我们得到记号令牌),并将其发送到 ATORa。
- 我们从答案中选择一个我们感兴趣的字符串,并给它一个名字。
- 我们提供插件如何识别会话已被"杀死"。
- 我们指示在新的请求中替换会话令牌的公式。 我们在这里使用常规表达式。 值得在注册网站上提前测试它们。
- 如果您使用额外的插件进行自动扫描,请在 ATORa 设置中选择此插件。
插件可以在吉图比概要上找到
