Burp Suite の Macro についての備忘録。
「Check Session is Valid」の和訳。
Burp Suite のHelp の和訳は以下。
※ 英語力がない人間がGoogle翻訳を使用して訳しているので注意
このアクションは、現在のセッションが有効がどうかチェックし、無効な場合、必要に応じて新たに有効なセッションを取得するために、追加でアクションを実行します。
セッションを検証するための要求(複数可)を作成
現在のセッションの有効性を判断するために、Burpは1つ、または、複数のRequest を送信します。これは以下のいずれかを行うことができます。
・ルールによって処理されている現在のリクエストを発行します。
・マクロを実行します。
現在の Request が送信され、かつ、ルールでセッションが有効であると判断された場合、それ以上のアクションは、現在のRequestに対して実行することができない。
オプションで、セッションすべてのX Request を検証するためにBurpを設定することができます。これは、アプリケーションがまれにしかセッションを無効にしない場合、余分なRequestを送信することを避けるために有用です。
セッションの有効性を決定するために Response を検証
構成されたリクエスト(単数または複数)を送信し、Burp はセッションの有効性を決定するためのResponse を検証します。マクロが実行された場合、Burp はマクロの最後に送信したRequestのResponseを調べます。
Responseで指定した式が含まれているかどうかBurpがチェックし、セッションの有効性を決定します。Burpは以下の検索を実施するように設定できます:
・HTTPレスポンスヘッダ
・レスポンスボディ
・すべてのリダイレクト対象のURL
検索は、文字列リテラルや正規表現を使用するように設定することができ、大文字と小文字を区別する、または、区別しないことができます。
セッションの有効性に応じて動作を定義
セッションの有効性に応じて、Burp がどのように動作するかを設定することができます。
セッションが有効であれば、Burp は現在のRequest に対し、これ以上のルールやアクションを処理しないように指定することができます。Burp が現在のリクエストを送信することでセッションを検証するように設定されている場合、このオプションは必須です。
セッションが無効である場合、Burp は、新しい有効なセッションを取得するために、次のいずれかの操作を実行するか指定することができます。
・マクロを実行する。
・ブラウザ内でセッションを回復するよう促す。
0 件のコメント:
コメントを投稿