Burp Suite中文使用教程(桌面版)12.1 Burp Sequencer 入門
Burp Sequencer是用于分析應用程序會話令牌和其他不可預測的重要數據項中的隨機性質量的工具。
注意:在某些應用程序中,使用Burp Sequencer可能會導致意想不到的效果。在您完全了解其功能和設置之前,您只應在非生產系統上使用Burp Sequencer。
要開始了解Burp Sequencer,請執行以下步驟:
- 首先,確保Burp已安裝并正在運行,并已將瀏覽器配置為可與Burp一起使用,并且已瀏覽目標應用程序以填充Proxy歷史記錄。
- 在“代理歷史記錄”中找到一個發出會話令牌或其他類似項目的響應,無論是在Set-Cookie標頭中,在表單字段中還是在其他任何地方。(您可以在歷史記錄的“ Cookies”列中進行排序,以快速查找已發出的Cookie。)使用上下文菜單將項目發送到Burp Sequencer。
- 轉到“定序器”選項卡,然后在“選擇實時捕獲請求”部分中,選擇剛發送的項目。
- 在“響應中的令牌位置”部分中,選擇響應中令牌出現的位置。如果令牌出現在自定義位置(即不在Set-Cookie標頭或表單字段中),則選擇“自定義位置”選項,然后在對話框中選擇響應中的令牌,然后單擊“確定”。
- 在“選擇實時捕獲請求”部分中,單擊“開始實時捕獲”按鈕。這將導致Burp重復發出原始請求,并提取響應中收到的所有令牌。實時捕獲會話將打開一個新窗口,其中顯示了捕獲的進度以及已獲取的令牌數量。獲得數百個令牌后,請暫停實時捕獲會話,然后單擊“立即分析”按鈕。
- 分析完成后,選項卡將顯示隨機性測試的結果。這些顯示了樣品中熵估計量的總體摘要,以及每種測試類型的詳細結果。結果本身包含每種測試的簡要文檔。
- 在某些情況下,您可能已經獲得了合適的令牌樣本。您可以將該樣本手動加載到Sequencer中并執行相同的分析。為此,請在主要的Burp UI中轉到“定序器”選項卡和“手動加載”子選項卡。您可以從剪貼板粘貼令牌或從文件加載令牌,然后使用“立即分析”按鈕開始分析加載的樣本。
