WebScarab 會話ID分析

會話ID分析

會話ID分析有助于確定攻擊者強制使用受害者的sessionid并接管它的容易程度。

其原理是，我們收集一個會話標識符示例，很可能是來自瀏覽器中設置的cookie，但也可能是在HTML主體中隱藏的表單字段中設置的。WebScarab用收集到的日期和時間標記所有的sessionid，然后，在對字符串值執行一些計算以將其轉換為數字之后，根據時間在圖上繪制值。在識別模式時，人眼的效率要比計算機高得多，因此通過在一對軸上繪制值，我們可以使人類更容易地可視化序列。

默認計算器標識會話id字符串中每個位置的可能字符集。然后，它對字符串執行base-n轉換，將其轉換為一個較大的數字。這是一種非常有效的將任意字符串轉換為數字的方法，因為它沒有對字符集做任何假設，并且在消除常量字符串方面相當有效(由于字符集不變，常量字符串被減少為0)

有可能使用替代計算器，例如Base64計算器知道Base64字符集是什么，但沒有用戶界面支持選擇不同的計算器。目前需要改變代碼來使用不同的計算器。對于感興趣的人來說，這可能是一個很好的項目。

收集會話ID

當前有兩種收集會話ID的方法，一種是從響應頭中的cookie中收集，另一種是通過將正則表達式與響應主體進行匹配。

要從cookie收集會話ID，請確保未選中“來自消息正文”復選框。要從郵件正文中收集會話ID，請確保已選中“來自郵件正文”復選框。提供一系列sessionid的名稱（該名稱是為cookie自動計算的），以及一個可用于從消息其余部分識別標識符的正則表達式。

正則表達式必須與整個消息正文匹配，因此它可能應該以“.* ”結構開頭和結尾。匹配文本中應用于會話標識符的部分應該用圓括號（即一組）括起來。如果需要，WebScarab將多個組連接為一個標識符。

正則表達式示例：

• .* id =“（……….）”.* 將提取一個10個字符的sessionid，并用引號引起來，并以“ id =”開頭

一旦指定了要收集的內容，就需要提供一個請求，該請求將導致包含新的sessionid的響應。最簡單的方法是查看SummaryPanel，以查看在“ Set-Cookie”列中具有值的對話。然后，從下拉菜單中選擇該請求，然后使用該確切請求收集新的會話ID。

或者，您可以手工處理您的請求，可能將GET更改為HEAD以減少需要請求的數據量。

輸入請求后，您可以測試設置以確保它可以工作。按下“測試”按鈕。如果成功找到sessionid，將顯示一個對話框，其中包含詳細信息。通過“測試”按鈕成功提取會話ID之后，您可以在“樣本”字段中指定要收集的會話ID數量，然后單擊“獲取”以開始該過程

如果您指定了大量的會話ID，并且想要在自然完成之前停止收集過程，請在“樣本”字段中輸入“ 0”，然后按“提取”。

會話ID分析

收集會話ID時，您可以轉到“分析”選項卡，然后查看收集的值。使用“會話標識符”下拉框，選擇您感興趣的標識符。下表將填充已收集的標識符，并隨著看到新的標識符而擴展。第一列指定收集sessionid的日期/時間，然后標識符的實際字符串值在第二列中。第三列顯示了計算值，該值可能會隨著“按位置字符集”的更新而隨時間變化。最后一欄顯示后續計算值之間的差異。

如果要將會話ID復制到電子表格程序中以進行替代分析，則只需選擇復制（Ctrl-C），然后將其粘貼到程序中即可。

會話ID可視化

“可視化”選項卡包含所選會話標識符的圖形視圖。首次選擇選項卡時，將創建圖形窗口小部件。如果在“分析”選項卡上未選擇任何會話標識符，則圖上將不會顯示任何點。使用該圖，應該容易識別所收集的會話ID中的線性或重復模式。