Burpsuite Pro: tokens CSRF en el secuenciador

4

Así que estoy usando Burp para intentar estimar la entropía utilizada por los tokens para evitar el CSRF.

Digamos que un sitio web tiene una url en su sitio protegido por un token:

<a href="http://example.com/mypage.TOKEN=1234"> somelink</a>

El problema al que me estoy enfrentando es que el token sigue siendo el mismo si hago varias solicitudes. Solo expira (cambia) si se usa.

Ahora estoy tratando de capturar un número de fichas con eructar. El problema es que si solicito la misma página con secuenciador, el token no ha cambiado porque no se ha visitado un enlace que use ese token (el token aún no ha caducado). ¿Cómo puedo hacer que Burp extraiga el valor del token y lo use en su próxima solicitud de secuenciador?

    
pregunta Lucas Kauffman 18.09.2012 - 20:21
fuente

1 respuesta

3

Intente usar Makros en: Opciones - > Sesiones - > Manejo de sesiones - > Añadir - > Reglas de Acciones y habilite el Secuenciador en la pestaña Ámbito dentro del editor de reglas de manejo de Sesiones. Parece que tienes que definir a Makros para "visitar el enlace", también conocido como URL a la que apunta el enlace con el token dado. Mira alrededor de la pestaña de sesiones para la forma apropiada de realizar la tarea.

    
respondido por el mike 21.09.2012 - 13:08
fuente

Lea otras preguntas en las etiquetas