Un guide étape par étape pour utiliser Sequencer / Blogs / Perficient

Burp Suite est un outil complet de test de sécurité des applications Web qui fournit une gamme de fonctionnalités pour aider à identifier les vulnérabilités des applications Web. L’un de ses outils les plus puissants est Sequencer, qui permet aux testeurs d’analyser le caractère aléatoire et la qualité des jetons et autres valeurs aléatoires utilisées dans les applications Web. Dans ce blog, je vais vous expliquer étape par étape le processus d’utilisation de Sequencer dans Burp Suite :

1. Ouvrez Burp Suite et accédez à l’onglet « Proxy ».
2. Cliquez sur le bouton « Intercepter » pour activer le mode d’interception.

   Fig : Requête interceptée envoyée à Séquenceur

3. Accédez au site Web ou à l’application que vous souhaitez tester et effectuez une action qui génère une requête HTTP.
4. Une fois la requête capturée dans l’onglet « Intercepter », faites un clic droit dessus et sélectionnez « Envoyer au séquenceur ».
5. L’onglet Séquenceur s’ouvrira et vous verrez la demande capturée.
6. Dans l’onglet Séquenceur, cliquez sur l’onglet « Options » et sélectionnez l’option « Emplacement du jeton ».

   Fig : Configuration Séquenceur
7. Choisissez où vous souhaitez que le séquenceur recherche les jetons en sélectionnant l’option appropriée.
8. Cliquez sur le bouton « Démarrer la capture en direct » pour commencer à capturer les jetons.
9. Effectuez des actions dans l’application Web qui génèrent des jetons pour les capturer en temps réel.
10. Une fois que vous avez capturé suffisamment de jetons, cliquez sur le bouton « Arrêter la capture en direct ».
11. Le séquenceur va maintenant analyser les jetons et générer un rapport sur leur qualité.
12. Le rapport comprend des informations telles que le nombre de jetons uniques, l’entropie des jetons et le score global de caractère aléatoire.
13. Vous pouvez utiliser le rapport pour identifier les points faibles du processus de génération de jetons de l’application Web et prendre des mesures pour l’améliorer.
14. Le séquenceur comprend également une fonction « Deviner » qui peut être utilisée pour prédire les futurs jetons en fonction des jetons capturés.
15. Vous pouvez utiliser la fonction « Deviner » pour tester la solidité du processus de génération de jetons de l’application Web contre des attaques potentielles.

    Figue: Analyse du rapport du séquenceur

16. Grâce aux informations acquises grâce à l’utilisation de l’outil Sequencer, vous pouvez améliorer la sécurité de vos applications Web et les protéger contre les attaques qui exploitent des jetons faibles ou prévisibles.

Tenez compte des directives suivantes pendant le processus de test :

1. Configurer les paramètres du proxy du navigateur : Assurez-vous que votre navigateur Web est configuré pour utiliser Burp Suite comme proxy. Ceci est crucial pour capturer et analyser efficacement les requêtes HTTP.
2. Personnalisation de l’analyse des jetons : Burp Suite permet aux utilisateurs de personnaliser les paramètres d’analyse, tels que le nombre de jetons à capturer et la technique d’analyse. Encouragez les utilisateurs à explorer ces options en fonction des exigences spécifiques de leur scénario de test.
3. Interprétation des résultats : Insistez sur l’importance d’examiner attentivement le rapport Sequencer et de comprendre ses implications. Expliquez comment interpréter les résultats et hiérarchiser les problèmes en fonction de la gravité des constatations.
4. Communication sécurisée : Soulignez la nécessité d’effectuer des tests dans un environnement contrôlé et d’obtenir l’autorisation appropriée avant de procéder à des évaluations de sécurité. Mettre l’accent sur l’utilisation responsable et éthique des outils de tests de sécurité.

Conclusion

Sequencer est un outil puissant qui fournit des informations précieuses sur le caractère aléatoire et la qualité des jetons et autres valeurs aléatoires utilisées dans les applications Web. En suivant ces étapes simples, vous pouvez utiliser Sequencer pour capturer et analyser des jetons, générer des rapports et identifier les points faibles du processus de génération de jetons. Cela vous aidera à améliorer la sécurité de vos applications Web et à les protéger contre d’éventuels tests.