Bildiğiniz gibi web uygulamaları, token, session IDs veya benzeri benzersiz ve rastgele tanımlayıcılara çok bağlıdır. Güvenlik açısından bakıldığında, bu token'ların ve tanımlayıcıların (identifiers) rastgeleliğini veya benzersizliğini test etmek önemlidir. Token'lar yeterince güçlü ve rastgele değilse, saldırganlar onları kolayca zorlayabilir ve yetkisiz erişime sahip olabilir.
Burp Suite Sequencer, uygulama token'larının gücünü test etmemize yardımcı olan bir araçtır. Sequencer'a herhangi bir isteği göndermek için sağ tıklayıp "Send to Sequencer" diyebilirsiniz. Herhangi bir isteği Sequencer'a gönderdikten sonra Sequencer sekmesine gidin.
Sequencer isteği otomatik olarak ayrıştırdığını ve çerezde bulunan "p7auth=FHYSsTfUMkkoXXzjKaf..." tokenini seçtiğini açıkça görebiliriz. Bu simge şimdi gücü ve rastgeleliği açısından analiz edilecek. Testi başlatmak için, "Start live capture" butonuna tıklayın. Aşağıda da gösterildiği gibi yeni bir pencere açılacaktır.
"Start live capture" butonuna tıkladığınızda canlı yakalama başlar ve istediğimiz zaman onu duraklatabilir veya sürdürebiliriz. Ancak, token gücünü etkili bir şekilde analiz etmek için en az 100 token yakalanmasına dikkat ediniz. Yakalama tamamlandığında, Sequencer bize bu durumla ilgili bilgiler verecektir.
Yorum Gönder