问题陈述

有些问题可以委托给工具解决，有些问题在很大程度上依赖于人类大脑。那么，为什么要把你的大脑浪费在一个不需要动脑筋的问题上呢？例如，想象质量工程师在输入有效的登录凭证和在用户帐户之间切换这样的琐碎任务上花费的时间和精力。不得不承认，这是一项枯燥的、耗费精力的、不可避免的任务，并且每一次安全评估都需要处理。是否有可能配置一种工具，使我们能够在眨眼之间切换用户帐户？

解决方案

Burp Suite是多年来已经被广泛使用的工具之一。它提供了许多功能，使安全工程师专注于完成工作，而不是在重复的任务上浪费时间。Burp提供的功能之一是创建宏。使用Burp Suite，可以使用自定义用户输入按特定顺序自动触发一组请求；还可以处理这样的情况，从先前请求的响应中获得动态值需要传递给当前请求，以便使自动登录过程成功。

遵循的步骤

1.查找会话标识关键字

2.创建“登录宏”

3.测试宏

4.添加“会话处理规则”

5.测试会话处理规则

OWASP RailsGoat示例

让我们来看一个端到端的示例，其中我们将在BurpSuite中定义一个会话处理规则，以检查当前会话是否有效。如果会话已过期，Burp应使用我们选择的凭据自动将我们登录到RailsGoat应用程序。在当前示例中，我们还将考虑这样一个场景，其中一个请求(这是登录过程的一部分)依赖于从上一个请求获得的值。

检查Cookie Jar

创建新用户帐户

登录目标应用程序

重新检查Cookie Jar

添加会话处理规则

测试会话处理规则

检查Cookie Jar

1.启动Burp Suite应用程序，然后转到“Project Options”(项目选项)>“Session(会话)”。

2.点击“Open Cookie JAR”按钮检查Cookie JAR是否为空。

创建新用户帐户

1.启动OWASP Broken Web Applications。

2.在OWASP-BWA主页上，单击“OWASP RailsGoat”>“(signup)注册”按钮。

3.填写并提交“注册(signup)”表单以创建新的用户帐户。