アプリケーションのトークンに対するランダム性テストを実行するには、まずそれらのトークンの適切なサンプルを取得する必要があります。これは2つの方法で実行できます: ライブキャプチャーで対象からトークンを自動で直接取得する、または既に取得したトークンのサンプルを手動で読み込む方法です。
当然、サンプル数が多くなるとより信頼性の高い分析ができます。Burpは、100個のトークンサンプルで初期分析を実行できますが、まともな目的にはこれで信頼できるとはいえません。ほとんどの目的で信頼性の高い分析を実行するには5,000トークンのサンプルで十分ですが、サンプルの特性に依存します。サポートする最大サイズは20,000トークンで、これはFIPS準拠の統計テストに十分です。
ライブキャプチャーを実行するには、レスポンスのどこかに分析対象のセッショントークンや他のアイテムが返されるリクエストを、対象アプリケーション内から指定する必要があります。これを行うには、Burp内の任意の場所でリクエストを選択し、コンテキストメニューからSequencerに送信オプションを選択します。このリクエストでライブキャプチャを設定するために必要な手順は次の通りです:
ライブキャプチャリクエストリストには、他のBurpツールからSequencerに送信したリクエストが表示されます。分析するトークンまたはその他のアイテムを返すリクエストを選択します。
アプリケーションのレスポンス内にトークンが表示される場所を選択します。次のオプションがあります:
ライブキャプチャーを実行してトークンを収集する際にHTTPリクエストを生成する、エンジンの挙動を設定します。次のオプションがあります:
ライブキャプチャーをすべて設定したら、ライブキャプチャー開始ボタンをクリックしてライブキャプチャーを開始します。Burp Sequencerはリクエストを繰り返し発行し、アプリケーションのレスポンスから関連するトークンを抽出します。
ライブキャプチャー中に進行状況バーが表示され、トークン、リクエスト、ネットワークエラー数のカウンタが表示されます。次のオプションがあります:
既に取得してあるトークンのサンプルをSequencerに読み込ませ、サンプルの統計分析を実行できます。
手動読込を実行するには、まず独自のスクリプトや以前のライブキャプチャの出力やIntruderの攻撃などで、対象アプリケーションからトークンの独自サンプルを取得する必要があります。トークンは、改行で区切られた単純なテキスト形式にする必要があります。
"貼り付け"ボタンでトークンをクリップボードから貼り付けるか、"読み込み"ボタンでファイルから読み込みます。読み込まれたトークンの最短と最長の長さの詳細と共に表示されるので、サンプルが正しく読み込まれていそうか確認できます。
読み込まれたトークンを分析するには、分析実行ボタンをクリックします。