Shikata Ga Nai

Private? There is no such things.

Burp SuiteのSequencerを使って手動でクエリ分析をやってみた

Hello there, ('ω')ノ

 

ライブのWebアプリケーションなしで。

トークンまたはセッションIDのサンプルだけがあったと仮定して。

それらのランダム性をBurp SuiteのSequencerを使って

クエリ分析または表示したい場合は。

前回、保存したセッションIDを使ってやってみると。

 

f:id:ThisIsOne:20220110123120p:plain

 

まずは、Manual loadでファイルをloadして。

この際、サンプルは100個以上必要らしく。

Analyze nowをクリックすると。

 

f:id:ThisIsOne:20220110123102p:plain

 

前回分析した結果のセッションIDを出力したファイルなので。

当然ながら、前回と同様の結果が表示されるわけで。

 

f:id:ThisIsOne:20220110123200p:plain

 

f:id:ThisIsOne:20220110130818p:plain

 

もし、セッションIDまたはトークンがbase64にバインドされている場合は。

Analysis optionsで、base64-decodeをオンにするだけで。

 

f:id:ThisIsOne:20220110123302p:plain

 

ちなみにさきほどのbase64でないファイルで試してみると。

結果は、さきほどの結果とは異なるものとなるので。

base64-decodeが機能していると考えられて。

 

f:id:ThisIsOne:20220110123413p:plain

 

f:id:ThisIsOne:20220110123442p:plain

 

次にさきほどのファイルをBase64にエンコードしたものを作成して。

 

f:id:ThisIsOne:20220110130430p:plain

 

実際にBase64にエンコードされているファイルで試してみると。

 

f:id:ThisIsOne:20220110130553p:plain

 

結果は、冒頭に試験した結果と同じなので。

正常に機能していることを確認できて。

 

f:id:ThisIsOne:20220110130614p:plain

 

f:id:ThisIsOne:20220110130632p:plain

 

Best regards, (^^ゞ