本文介绍了如何利用Burp Suite的宏功能自动化处理Session会话,以提高安全评估效率。通过定义会话处理规则,实现自动登录和处理动态值,以确保在会话过期时能无缝续签。文中以OWASP RailsGoat为例,详细阐述了设置过程,包括查找会话标识、创建登录宏、测试宏以及添加会话处理规则。
问题陈述
有些问题可以委托给工具解决,有些问题在很大程度上依赖于人类大脑。那么,为什么要把你的大脑浪费在一个不需要动脑筋的问题上呢?例如,想象质量工程师在输入有效的登录凭证和在用户帐户之间切换这样的琐碎任务上花费的时间和精力。不得不承认,这是一项枯燥的、耗费精力的、不可避免的任务,并且每一次安全评估都需要处理。是否有可能配置一种工具,使我们能够在眨眼之间切换用户帐户?
解决方案
Burp Suite是多年来已经被广泛使用的工具之一。它提供了许多功能,使安全工程师专注于完成工作,而不是在重复的任务上浪费时间。Burp提供的功能之一是创建宏。使用Burp Suite,可以使用自定义用户输入按特定顺序自动触发一组请求;还可以处理这样的情况,从先前请求的响应中获得动态值需要传递给当前请求,以便使自动登录过程成功。
遵循的步骤
1.查找会话标识关键字
2.创建“登录宏”
3.测试宏
4.添加“会话处理规则”
5.测试会话处理规则
OWASP RailsGoat示例
让我们来看一个端到端的示例,其中我们将在BurpSuite中定义一个会话处理规则,以检查当前会话是否有效。如果会话已过期,Burp应使用我们选择的凭据自动将我们登录到RailsGoat应用程序。在当前示例中,我们还将考虑这样一个场景
最低0.47元/天 解锁文章
2519
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
