ATOR – Token di autenticazione Obtain and Replace – Plug-in Burp Suite per meccanismi di sessione complessi

Schema plug-in ATOR

Lo strumento suite burp ha un meccanismo di sessione integrato, sempre più spesso incontro situazioni in cui non riesco a farlo rimanere attivo. Questo è più spesso causato da uno dei seguenti fattori:

  • Token CSRF dinamici nascosti in diversi punti della richiesta;
  • Applicazioni basate su JavaScript (React, Angular) e API che utilizzano token di autenticazione;
  • valori di intestazione specifici anziché cookie (es. JWT);
  • utilizzo di token duali (token di accesso/aggiornamento), principalmente in applicazioni mobili;

Recentemente, ho in mente un ottimo plug-in che rende molto più facile eseguire scansioni automatiche. L'ho testato, tra le altre cose, in uno scenario con un token JWT (token OAuth 2.0 / portatore), che cambia ogni pochi minuti e con la coscienza pulita posso consigliare.

La guida introduttiva è simile alla seguente:

  • Prendiamo la richiesta responsabile dell'accesso (in risposta alla quale otteniamo il token al portatore) e la inviamo all'ATORa.
Inviare una risposta di accesso esistente ad ATOR
  • Selezioniamo dalla risposta una stringa che ci interessa e gli diamo un nome.
Estrarre il token di accesso dalla risposta
Estrarre il token di accesso dalla risposta
  1. Forniamo come il plugin può identificare che la sessione è stata "uccisa".
Imposta tipo di errore come codice di stato = 401
Imposta tipo di errore come codice di stato = 401
  1. Indichiamo la formula con cui il token di sessione deve essere sostituito nelle nuove richieste. Usiamo espressioni regolari qui. Vale la pena testarli in anticipo sul sito web regexr.
Impostare l'area di scambio
Impostare l'area di scambio
  • Se si utilizzano plug-in aggiuntivi per la scansione automatica, selezionarlo nelle impostazioni ATORa.
Imposta estensione

Il plugin può essere trovato su sinossi Githubie

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!).
Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Aggiungi ai preferiti : permalink.

Podziel się swoją opinią na temat artykułu