Shikata Ga Nai

Private? There is no such things.

別のサイトでBurp SuiteのSequencerをつかって分析してみた

Hello there, ('ω')ノ

 

今回は、少しやり方をかえて。

まずは、Open browserをクリックして。

起動したブラウザで下記へアクセスして。

 https://demo.testfire.net/

 

f:id:ThisIsOne:20220110135805p:plain

 

アクセスすると、下記のセッションIDが付与されて。

 JSESSIONID=943CCF04DDA8A8C822FB20D1FB06DDBB

 

f:id:ThisIsOne:20220110140031p:plain

 

例えば、他のページへ遷移すると。

 

f:id:ThisIsOne:20220110140511p:plain

 

付与されたセッションIDがリクエストから送信されて。

 

f:id:ThisIsOne:20220110140448p:plain

 

一旦、ここでSequencerへ送っておくことに。

 

f:id:ThisIsOne:20220110140149p:plain

 

正常に認識されていることを確認しておいて。

 

f:id:ThisIsOne:20220110140208p:plain

 

一方、先ほどの履歴をリピータへ。

 

f:id:ThisIsOne:20220110140641p:plain

 

ここでSendすると別のセッションIDが付与されて。

 JSESSIONID=C4DF3E6045B5CDD90ACDFD698C642B90

 

f:id:ThisIsOne:20220110140757p:plain

 

再度、Sendすると別のセッションIDが付与されて。

このようにセッションIDが個別に付与されることを確認できて。

 JSESSIONID=CFB54DD0449B98239442B2CC28A46D43

 

f:id:ThisIsOne:20220110140826p:plain

 

さて、SequencerへもどってStart live captureを実行すると。

分析結果が表示されて。

特に問題はなく。

念のためSave tokensをクリックして保存を。

 

f:id:ThisIsOne:20220110141303p:plain

 

f:id:ThisIsOne:20220110141423p:plain

 

ちなみに初めにセッションIDは、保存されたトークンファイルには含まれておらず。

 

f:id:ThisIsOne:20220110142548p:plain

 

Best regards, (^^ゞ