No soy un desarrollador, así que perdona mi ignorancia. ¿Alguien puede explicar por qué algunas cookies pueden manipularse y enviarse a través de un proxy Burpsuite y otras no? ¿Hay algo en JS (o cualquier otro idioma) que compruebe la manipulación? Si es así, ¿puede ser derrotado?
Ejemplo: si estoy usando Burpsuite durante una prueba de penetración, puedo cambiar el valor de la cookie de NotAnAdmin
a Admin
. A veces esto funcionará, y otras veces el servidor seguirá respondiendo como si no hubiera hecho ningún cambio y usaría la cookie como si todavía dijera NotAnAdmin
.
También he intentado esto con hashes, donde intentaré intercambiar un hash o token o algo por otro, pero el sitio responde con el token original que generó o lo cambia de alguna manera y no lo usa. Lo puse manualmente.