Hey guys!

セキュリティレベル『Low』で実行です。

はじめにソースコードを確認。

セッションIDは、単純にカウントアップしているだけのようです。

 

『Generate』ボタンを連打します。

 

 

Burp Suiteの『Proxy』→『HTTP history』で履歴を確認。

さらに下の『Request』では、セッションIDが確認できます。

 

 

『Response』でもセッションIDを確認。

セッションIDがカウントアップされてました。

他の履歴のセッションIDを確認してみても規則性がありそうです。

 

 

次に連打したどれか一つの履歴を右クリック。

『Send to Sequencer』を選びます。

『Sequencer』が赤色で表示されるので、タブの中の『Start live capture』を実行。

 

『Analyze now』ボタンで結果を確認。

 

 

結果は悪いと出ています。

セッションIDにランダム性がないとのことです。

 

Best regards,