shikata ga nai

Private? There is no such things.

Burp SuiteのSequencerをつかってみた

Hello thre, ('ω')ノ 

 

Burp Sequencerは、データ項目のランダム性の品質を分析するためのツールで。

データ項目は、

 アプリケーションのセッションID

 CSRFトークン

 パスワードのリセット

 パスワード忘れトークン

 アプリケーションによって生成された特定の予測不可能なID

のいずれかで。

 

まずは、bWAPPにログインして。

 

f:id:ThisIsOne:20210128150023p:plain

 

ログイン後にセッションをCookieにセットしているリクエストをSequencerへ。

 

f:id:ThisIsOne:20210128150136p:plain

 

リクエストに対するレスポンスのトークンが自動でセットされて。

 

f:id:ThisIsOne:20210128150224p:plain

 

ちなみにSequencerに異なる値を設定したい場合は、Custom locationで。

検査対象をマーキングしてクリックすると自動でセットされて。 

 

f:id:ThisIsOne:20210128150337p:plain

 

もし、Cookieの値がBase64でエンコードされていたら。

 

f:id:ThisIsOne:20210128124918p:plain

 

 Base64をチェックすることで分析がより精密になったりと。

 

f:id:ThisIsOne:20210128125328p:plain

 

Start live captureでスタートさせて。

ライブキャプチャウィンドウのボタンは以下のとおりで。

 

Pause:

 キャプチャ要求とカウンターを一時的に一時停止。


Copy tokens:

 生成されたすべてのランダム化されたトークンをコピー。

 

Stop:

 ライブキャプチャアナライザの主要な障害。


Save tokens:

 出力を定義済みファイルにドロップダウン。


Auto analyze:(有効な場合のみ)

 特定の数のトークンを生成。

 分析結果をダンプ。


Analyze now:

 100個のトークンが生成されている場合にのみ使用可能。

 分析されたレポートが画面に印刷。

 

下記より全体的なランダム性が「優れている」と推定されていることがわかって。

セッションIDが繰り返される場合は、ランダム性の品質が「不良」になって。

 
f:id:ThisIsOne:20210128145934p:plain

 

f:id:ThisIsOne:20210128150435p:plain

 

f:id:ThisIsOne:20210128150515p:plain

 

トークンの保存をしたら、一旦、ログアウトして。

 

f:id:ThisIsOne:20210128164958p:plain

 

インターセプトして、さきほど保存したセッションIDの一部と置き換えて。

Forwardで進むと。

 

f:id:ThisIsOne:20210128165336p:plain

 

もとの画面に戻るのでセッションIDが有効でないことが確認できて。

 

f:id:ThisIsOne:20210128165439p:plain


Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain