ATOR – 身份验证令牌获取和更换 – Burp 套件插件,用于复杂的会话机制

ATOR 插件方案

来吧,打嗝套件工具有一个内置的会话机制,越来越多的情况下,我遇到的情况,我只是无法应付保持它活跃。 这通常是由以下因素之一造成的:

  • 隐藏在请求不同位置的动态CSRF令牌;
  • 基于 JavaScript 的应用程序(反应、角度)和使用身份验证令牌的 API;
  • 特定的标头值,而不是饼干(例如 JWT);
  • 使用双重令牌(访问/刷新令牌),主要在移动应用程序中;

最近,我想出了一个伟大的插件,使它更容易进行自动扫描。 除其他事项外,我测试了它,在一个场景与JWT令牌(OAuth 2.0/无记名),它每隔几分钟改变一次,并有一个明确的良心,我可以推荐。

快速启动指南看起来像这样:

  • 我们捕获负责登录的请求(响应时,我们得到记号令牌),并将其发送到 ATORa。
向ATOR发送现有登录回复
  • 我们从答案中选择一个我们感兴趣的字符串,并给它一个名字。
从响应中提取访问令牌
从响应中提取访问令牌
  1. 我们提供插件如何识别会话已被"杀死"。
将错误类型设置为状态代码=401
将错误类型设置为状态代码=401
  1. 我们指示在新的请求中替换会话令牌的公式。 我们在这里使用常规表达式。 值得在注册网站上提前测试它们。
设置交换区域
设置交换区域
  • 如果您使用额外的插件进行自动扫描,请在 ATORa 设置中选择此插件。
设置扩展器

插件可以在吉图比概要上找到

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Bookmark the permalink.

Podziel się swoją opinią na temat artykułu