Hello thre, ('ω')ノ 

 

Burp Sequencerは、データ項目のランダム性の品質を分析するためのツールで。

データ項目は、

　アプリケーションのセッションID

　CSRFトークン

　パスワードのリセット

　パスワード忘れトークン

　アプリケーションによって生成された特定の予測不可能なID

のいずれかで。

 

まずは、bWAPPにログインして。

 

 

ログイン後にセッションをCookieにセットしているリクエストをSequencerへ。

 

 

リクエストに対するレスポンスのトークンが自動でセットされて。

 

 

ちなみにSequencerに異なる値を設定したい場合は、Custom locationで。

検査対象をマーキングしてクリックすると自動でセットされて。 

 

 

もし、Cookieの値がBase64でエンコードされていたら。

 

 

 Base64をチェックすることで分析がより精密になったりと。

 

 

Start live captureでスタートさせて。

ライブキャプチャウィンドウのボタンは以下のとおりで。

 

Pause：

　キャプチャ要求とカウンターを一時的に一時停止。

Copy tokens：

　生成されたすべてのランダム化されたトークンをコピー。

 

Stop：

　ライブキャプチャアナライザの主要な障害。

Save tokens：

　出力を定義済みファイルにドロップダウン。

Auto analyze：（有効な場合のみ）

　特定の数のトークンを生成。

　分析結果をダンプ。

Analyze now：

　100個のトークンが生成されている場合にのみ使用可能。

　分析されたレポートが画面に印刷。

 

下記より全体的なランダム性が「優れている」と推定されていることがわかって。

セッションIDが繰り返される場合は、ランダム性の品質が「不良」になって。

 

 

 

 

トークンの保存をしたら、一旦、ログアウトして。

 

 

インターセプトして、さきほど保存したセッションIDの一部と置き換えて。

Forwardで進むと。

 

 

もとの画面に戻るのでセッションIDが有効でないことが確認できて。

 

Best regards, (^^ゞ