Estoy probando una aplicación web basada en SAP para un cliente. Una de las comprobaciones que normalmente hacemos es analizar la cookie que contiene el token de sesión para asegurarnos de que sea lo suficientemente aleatoria y que no pueda predecir el próximo token válido. Hacemos esto usando el secuenciador Burp.
En esta ocasión, me di cuenta de que la cookie parecía tener una gran cantidad de datos estáticos al principio. Base64 lo descodificó y descubrí que los primeros 130 caracteres (en texto) contienen el nombre de usuario, el código de cliente y la fecha / hora. Creo que esta es una 'característica' conocida de SAP.
Lo que estoy luchando para poder explicar en mi informe es cómo los resultados del decodificador coinciden con el secuenciador. Por ejemplo, en texto claro en la cookie, los datos estáticos deben comenzar en la posición cero y terminar en el carácter 130, pero esto no corresponde a los valores vistos en el análisis de caracteres en el secuenciador, ni la cantidad de caracteres mostrados en total corresponde al recuento real de caracteres en la cookie. Puedo ver la parte estática en el secuenciador, e incluso el pico de entropía donde cambia la parte de tiempo, simplemente no puedo correlacionar las posiciones de los personajes. Además, cuando veo el análisis de bits en el secuenciador, los valores parecen invertirse, de modo que en lugar de ver el valor estático al comienzo de la secuencia, puedo verlo al final.
Espero que alguien pueda explicarme lo que estoy viendo y muchas gracias por cualquier ayuda.