shikata ga nai

Private? There is no such things.

Burp Suiteで弱いセッションIDを分析してみた

Hello there, ('ω')ノ

 

まずは、WebGoatを起動して。

 

f:id:ThisIsOne:20200925152140p:plain

 

Burp Suiteのレスポンスの内容からSet-Cookieを検索して。

右クリックでSend to Sequencerを選択して。

 

f:id:ThisIsOne:20200925155913p:plain

 

分析のターゲットとなるWEAKIDを選択して。

Start live captureを押すと画面が立ち上がって。

 

f:id:ThisIsOne:20200925152002p:plain

 

キャプチャ終了後にAnalyze nowを押すと。

結果を見るとIDの品質が非常に低いことがわかって。

 

f:id:ThisIsOne:20200925154746p:plain

 

さらにチャートでは、各文字の位置の変化または重要度を示していて。

有意性は下記のIDの位置2から位置3に、そして位置3から4に増加していて。

ハイフンの位置である位置5に再び減少することがわかって。

 

 WEAKID=12244-1601015900274

 

同様にIDの位置16から位置18にも適用される可能性があるものの。

レートが異なることを示唆していて。

 

f:id:ThisIsOne:20200925154705p:plain

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain