ATOR – Authentication Token Obtain and Replace – Burp Suite-Plugin für komplexe Sitzungsmechanismen

ATOR Plug-In-Funktionsschema

Kommen Sie Burp Suite hat einen eingebauten Sitzungshandler, ich bin zunehmend mit Situationen konfrontiert, in denen es einfach nicht damit zu tun hat, es aktiv zu halten. Dies wird am häufigsten durch einen der folgenden Faktoren verursacht:

  • dynamische CSRF-Token, die an verschiedenen Request-Standorten versteckt sind;
  • JavaScript-basierte Anwendungen (React, Angular) und APIs, die Authentifizierungstoken verwenden;
  • spezifische Headerwerte anstelle von Cookies (z. B. JWT);
  • Verwendung von Dual-Token (Zugriffs-/Aktualisierungstichen), hauptsächlich in mobilen Anwendungen;

Ich bin vor kurzem auf einen tollen Stecker gestoßen, der die Durchführung automatischer Scans erheblich erleichtert. Ich habe es unter anderem in einem Szenario mit einem JWT-Token (OAuth 2.0 /Trägertuken) getestet, das sich alle paar Minuten ändert und guten Gewissens kann ich empfehlen.

Die kurze Gebrauchsanweisung sieht wie folgt aus:

  • Wir fangen die Anmeldungsanfrage (in der Antwort, die wir auf das Bearer-Token erhalten) und senden sie an ATOR.
Senden Sie eine vorhandene Anmeldeantwort an ATOR
  • Wir wählen aus der Antwort die Zeichenfolge, die uns interessiert, und geben ihm einen Namen.
Extrahieren des Zugriffstichs aus der Antwort
Extrahieren des Zugriffstichs aus der Antwort
  1. Wir geben an, wie der Stecker identifizieren kann, dass die Sitzung "getötet" wurde.
Legen Sie den Fehlertyp als Statuscode fest = 401
Legen Sie den Fehlertyp als Statuscode fest = 401
  1. Wir geben ein Muster an, nach dem unser Sitzungstich in neuen Anforderungen ersetzt werden soll. Wir verwenden hier regelmäßige Ausdrücke. Es lohnt sich, sie zuvor auf der Regexr -Seite zu testen.
Legen Sie den Austauschbereich fest
Legen Sie den Austauschbereich fest
  • Wenn Sie zusätzliche Plug-Ins für den automatischen Scan verwenden, markieren Sie dies in den ATORa-Einstellungen.
Set Extender

Der Stecker ist auf Githubie synopsys zu finden

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Speichere in deinen Favoriten diesen permalink.

Podziel się swoją opinią na temat artykułu