URLに一意の文字列を含むWebアプリケーションのテスト
すべてのHTTPリクエストに一意の文字列が追加されているWebアプリケーションでペネトレーションテストを実行するために、どのようなアプローチを採用できるかについて、あなたの考え/意見を聞きたいと思います。サーバーからのすべての応答には固有のトークンが付属しており、そのトークンは(クライアント側のスクリプトによって)そのページから行われるすべての要求に追加されます。これは、アプリケーションが反復的な要求または無効な文字列でユーザーをスローするため、げっぷスイートで繰り返しまたはファジングすることはオプションではないことを意味します。
Burpは、このような状況に対処するように設計されたマクロとセッション処理ルールをサポートしています。たとえば、新しいトークンをフェッチするマクロと、現在のリクエストを更新するルールを構成できます。これは、IntruderやScannerを含むすべてのBurpツールで使用できます。さらに情報があります here 。
組み込みルールは、URL内のトークンを更新できません。ただし、カスタムパラメータハンドラー拡張機能を使用すると、これを行うことができます。
これを設定するのは少し面倒かもしれませんが、ほとんどのサイトでワーキングセッションルールを構成することが可能です。独自の拡張機能をコーディングすることもできます。
所属:Burp Suiteは私たちの商用製品です。
これに対する私のアプローチ
好みの開発言語を使用して、サイトに「インデックスを付ける」ための簡単なアプリケーションを作成し、それをcsvファイルにエクスポートしてから、テストする一連のURLとしてファザーにインポートします。
開発スキルがない場合は、サードパーティのツールまたは開発者を探す必要があります。