Burp Sequencer入門

Burp Sequencerは、アプリケーションのセッショントークンやその他の重要なデータなど、予測困難である必要があるデータの乱数の質を分析するツールです。

Burp Sequencerを習得するには、次の手順を実行する必要があります:

1. Burpブラウザの代わりに外部ブラウザを使用したい場合は、Burpと動作するようブラウザを設定し、対象アプリケーションをブラウズしてProxy履歴に入力します。
2. Set-Cookieヘッダやフォームフィールドやその他の箇所で、セッショントークンや同等の値が発行されているレスポンスを、Proxy履歴から探します。(履歴でCookie列でソートすると、cookieが発行されている箇所を素早く見つけられます。)コンテキストメニューを使って、そのアイテムをBurp Sequencerに送信します。
3. Sequencerタブに移動し、ライブキャプチャリクエスト選択セクションで、今送信したアイテムを選択します。
4. レスポンス中のトークン位置セクションで、レスポンスにトークンが出現する箇所を選択します。トークンが一般的な箇所(たとえば、Set-Cookieヘッダやフォームフィールド)以外に出現する場合、カスタム位置オプションを選択し、ダイアログでレスポンス中のトークンを選択し、OKをクリックします。
5. ライブキャプチャリクエスト選択セクションで、ライブキャプチャ開始ボタンをクリックします。するとBurpはオリジナルのリクエストを繰り返し発行し、受信したレスポンスからトークンをすべて抽出します。ライブキャプチャセッションには、キャプチャの進捗と得られたトークン数を示す新しいウィンドウが開きます。数百のトークンを取得したら、ライブキャプチャセッションを停止し、分析実行ボタンをクリックします。
6. 分析が完了したら、タブにランダム性テストの結果が表示されます。これらは、サンプルから推定したエントロピーの概要と、実施した各テストタイプの結果詳細を表示します。各テスト結果内に簡単なドキュメントがあります。
7. 一部の状況で、トークンの適当なサンプルが既に得られている場合があります。Sequencerにこのサンプルを手動で読み込ませ、同じ分析を実行できます。これには、Burp UI でSequencerの手動読み込みタブに移動します。クリップボードから貼り付けるかファイルから読み込み、分析実行ボタンを押すと、読み込んだサンプルの分析が始まります。