使用BurpSuite测试会话令牌生成

使用BurpSuite测试会话令牌生成

  • 1.使用 Burp Suite 分析会话令牌生成
  • 2.会话令牌生成报告的分析方法

1.使用 Burp Suite 分析会话令牌生成

会话令牌的生成方式必须使其不可预测。可预测的会话令牌可能会使网站遭受会话劫持攻击,攻击者会访问其他用户的活动会话。如果这是经过身份验证的会话,攻击者可以访问用户的数据,并可能代表用户执行恶意操作。

您可以使用 Burp Sequencer 收集大量会话令牌,并分析它们的可预测性

演示目标:https://ginandjuice.shop/login

1、使用凭据登录(carlos:hunter2),抓取登录的包

使用BurpSuite测试会话令牌生成_第1张图片

2、查找发出经过身份验证的会话 cookie 的响应,选择会话 Cookie,右键单击它,然后选择“发送到 Sequencer”


使用BurpSuite测试会话令牌生成_第2张图片

你可能感兴趣的:(#,渗透测试工具,渗透测试)