5.4 Burp Suite 會話選項

此選項卡包含會話處理規則，cookie jar和宏的設置。

注意： Burp Scanner會在爬網和爬網驅動的審核期間自動處理會話。會話處理規則將不適用于此類掃描發出的請求。

會話處理挑戰

在執行任何類型的Web應用程序測試時，您可能會遇到與會話處理和狀態有關的挑戰。例如：

• 該應用程序可能出于防御性或其他原因終止了用于測試的會話，因此后續請求在會話恢復之前無效。
• 某些功能可能會使用必須隨每個請求提供的更改令牌（例如，阻止請求偽造攻擊）。
• 某些功能可能需要在測試請求之前提出一系列其他請求，以使應用程序進入合適的狀態以使其接受測試的請求。

這些挑戰在執行自動化測試任務（例如模糊測試或掃描）時可能會出現，在手動測試時也可能會出現。

Burp的會話處理功能包含多種功能，可在所有這些情況下提供幫助，讓您繼續進行手動和自動測試，而Burp在后臺為您解決問題。

會話處理規則

Burp允許您定義會話處理規則的列表，從而使您可以非常精細地控制Burp如何處理應用程序的會話處理機制和相關功能。

每個規則都包含一個范圍（該規則適用于什么）和操作（該規則執行了什么）。對于Burp發出的每個傳出請求，它都會確定哪些定義的規則是該請求的作用域，并按順序執行所有這些規則的操作（除非條件檢查操作確定不應將其他操作應用于該請求）。請求）。

可以基于正在處理的請求的以下任何或所有功能來定義每個規則的范圍：

• 發出請求的Burp 工具。
• 請求的URL。
• 請求中參數的名稱。

每個規則可以執行一個或多個操作，例如：

• 更新Burp cookie jar中的cookies。
• 驗證當前會話。
• 運行宏（預定義的請求序列）。

通過創建具有不同范圍和動作的多個規則，您可以定義Burp將應用于不同應用程序和功能的行為的層次結構。例如，在特定測試中，您可以定義以下規則：

• 對于所有請求，添加來自Burp cookie jar中的cookies。
• 對于對特定域的請求，請驗證與該應用程序的當前會話是否仍處于活動狀態，如果沒有，請運行宏以登錄回該應用程序，并使用生成的會話令牌更新cookie jar。
• 對于包含__csrftoken參數的特定URL的請求，請首先運行宏以獲取有效值__csrftoken，并在發出請求時使用該值。

會話處理跟蹤器

將Burp的會話處理功能應用于實際應用程序功能所需的配置通常很復雜，而且容易出錯。您可以使用會話處理跟蹤程序來協助對會話處理配置進行故障排除。

跟蹤器顯示了會話處理功能已處理的每個請求的列表（也就是說，已應用至少一個會話規則）。對于每個已處理的請求，跟蹤器將顯示已執行的規則和操作的序列，以及序列中每個步驟對當前請求所做的更改。

請注意，會話處理跟蹤程序對所有受影響的HTTP請求都施加了處理和存儲開銷。僅在對會話處理規則的問題進行故障排除時，才應使用跟蹤器，并且不應使其正常運行。

Cookie jar

Burp維護一個cookie jar，該cookie jar存儲您訪問的網站發布的所有cookie。Cookie jar由Burp的所有工具共享。

您可以配置cookie jar應監視哪些工具以更新cookie。默認情況下，將根據Proxy和Spider工具的流量更新cookie jar。Burp監視配置的工具收到的響應，并使用設置的任何新cookie更新cookie jar。對于代理服務器，還將檢查來自瀏覽器的傳入請求。這在應用程序先前設置了持久性cookie（在您的瀏覽器中存在）以及正確處理會話所需的持久性cookie時很有用。讓Burp根據通過代理的請求更新其cookie jar意味著即使該應用程序在您當前訪問期間未更新此cookie的值，所有必需的cookie都將添加到該cookie jar中。

您還可以使用“打開cookie jar”按鈕查看cookie jar的內容并手動編輯cookie。

會話處理規則和宏可以使用cookie jar來自動更新cookie jar中的cookie的傳出請求。

cookie jar模仿Internet Explorer對cookie處理規范的解釋，從而尊重cookie的域和路徑范圍。

Macros

Macros是一個或多個請求的預定義序列。您可以在會話處理規則中使用Macros來執行各種任務。宏的典型用例包括：

• 提取應用程序的頁面（例如用戶的主頁）以檢查當前會話是否仍然有效。
• 執行登錄以獲取新的有效會話。
• 獲取令牌或隨機數以用作另一個請求中的參數。
• 在多步驟過程中掃描或模糊處理請求時，請執行必要的先前請求，以使應用程序進入接受目標請求的狀態。
• 在多步驟過程中，在“攻擊”請求之后，完成過程的其余步驟，以確認正在執行的操作，或從該過程的結論中獲取結果或錯誤消息。

除了基本的請求順序外，每個宏還包括一些重要的配置，這些配置有關如何處理順序中的cookie和參數以及項目之間的任何相互依賴性。

與Burp工具集成

Burp的會話處理功能以一些重要方式與Burp的其他功能交互：

• 有一個默認的會話處理規則，可以用Burp的cookiejar中的cookie更新掃描程序的請求，除非掃描程序正在管理自己的會話（在爬網和爬網驅動的審核期間）。如果這不是您需要的行為，則應在執行任何掃描之前禁用默認的會話處理規則。
• 如果會話處理規則在請求發出之前對其進行了修改（例如，更新cookie或其他參數），為了清楚起見，Burp的某些工具將顯示最終的更新請求。報告的掃描儀問題中顯示的請求將繼續顯示原始請求，以便在必要時便于與基本請求進行清晰比較。要觀察由會話處理程序修改的對掃描問題的最終請求，您可以將請求發送到Burp Repeater并在其中發出（前提是您為Repeater啟用了與Scanner相同的會話處理規則）。
• 當掃描程序或入侵者發出處理受會話處理操作影響的cookie或參數的請求時，該操作不會應用于該請求，以避免干擾正在執行的測試。例如，如果您使用Intruder對請求中的所有參數進行模糊處理，并且已配置了會話處理規則以更新該請求中的sessidcookie ，則當Intruder對其他參數進行模糊處理時，將更新cookie。當Intruder對sessidcookie本身進行模糊處理時，Burp將發送Intruder有效負載字符串作為sessid值，并且會話處理規則將不會像通常那樣更新cookie。