Burpsuite Pro:シーケンサーのCSRFトークン
したがって、私はBurpを使用して、CSRFを防ぐためにトークンによって使用されるエントロピーを試して推定しています。
トークンで保護されたサイトにWebサイトのURLがあるとします。
<a href="http://example.com/mypage.TOKEN=1234"> somelink</a>
私が直面している問題は、複数のリクエストを実行してもトークンが同じままであることです。使用された場合にのみ有効期限が切れます(変更されます)。
今私はげっぷでいくつかのトークンをキャプチャしようとしています。問題は、シーケンサーで同じページをリクエストした場合、そのトークンを使用するアクセスされたリンクがないため、トークンが変更されていないことです(トークンの有効期限がまだ切れていません)。 Burpにトークン値を抽出させ、それを次のシーケンサーリクエストで使用する方法を教えてください。
オプション->セッション->セッション処理->追加->ルールアクションでMakrosを使用し、セッション処理ルールエディター内のスコープタブでシーケンサーを有効にします。 「リンクにアクセス」するためにMakrosを定義する必要があるようです。指定されたトークンでリンクが指すURLを呼び出します。タスクを達成するための適切な方法については、セッションタブを見てください。