专业的社区

Burp Sequencer入门

• 最近更新时间：2022年7月1日

• 阅读时间：2分钟

BURP Sequencer是一种用于分析应用程序会话令牌中随机性质量和其他意图不可预测的重要数据项的工具。

要开始了解Burp Sequencer，您应该执行以下步骤：

1. 如果要使用外部浏览器而不是Burp的浏览器，确保您有配置了您的浏览器与Burp合作，并且您已浏览到目标申请以进行填充您的代理历史。
2. 在代理历史记录中找到一个响应，该响应是发布会话令牌或其他类似项目的响应，无论是在set-cookie标头，表单字段还是其他任何地方。（您可以在历史记录中的cookie列上排序，以快速找到发行的cookie。）使用上下文菜单将项目发送到Burp Sequencer。
3. 转到Sequencer选项卡，并在选择实时捕获请求部分，选择您刚刚发送的项目。
4. 在里面响应中的令牌位置部分，选择“令牌出现的响应”中的位置。如果令牌出现在自定义位置（即不在set-cookie标头或表单字段中），请选择自定义位置选项，然后在对话框中选择响应中的令牌，然后单击好的。
5. 在里面选择实时捕获请求部分，单击开始实时捕获按钮。这将导致Burp反复发出原始请求，并提取回复中收到的所有令牌。实时捕获会话打开了一个新窗口，显示了捕获的进度以及已获得的令牌数量。获得几百个令牌后，请暂停实时捕获会话，然后单击立即分析按钮。
6. 分析完成后，选项卡将显示随机度测试的结果。这些显示了样品中估计的熵量的总体摘要，以及所执行的每种测试类型的详细结果。结果本身中的每个测试都有简短的文档。
7. 在某些情况下，您可能已经获得了合适的令牌样本。您可以手动加载此样本中的序列器并执行相同的分析。为此，在主Burp UI中，转到Sequencer选项卡和手动负载子标签。您可以从剪贴板粘贴令牌或从文件加载它们，然后使用立即分析按钮开始分析已加载样品。