Burp Suite(버프스위트) 메뉴 Sequencer

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위 입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다. 

버프스위트의 Sequencer 기능은 웹 애플리케이션에서 제공하는 보안상 중요한 세션 토큰을 분석하기 위한 도구 입니다.

Sequencer의 하위 탭으로는 Live Capture, Manual Load, Analysis Options 이렇게 3개의 탭이 존재하고 있습니다.

Live Capture

대상 웹 애플리케이션에서 생성되는 토큰을 캡처하여 샘플 토큰 목록을 생성하고 이 토큰을 바탕으로 분석하여 결과를 출력 할 수 있습니다

Sequencer 기능도 다른기능과 마찬가지로 대상을 선택후 마우스 오른쪽 버튼을 누르신후 Send to Sequencer 을 선택해주시면 Sequencer탭으로 정보가 넘어간 것을 확인할수 있습니다.

Sequencer에 값이 전달되면 자동으로 Live Capture 탭에 정보가 쌓이고, Select Live Capture Request에 새로운 목록이 추가 됩니다. 

Token Location Within Response에서는 전달된 정보에서 쿠키 값이나 폼 필드 값을 자동으로 추출하고 사용자에게 캡처에 사용할 항목을 선택하게 합니다. 선택할 항목이 없다면 Custom Location에서 사용자 임의대로 항목을 추가할수도 있습니다.

기본적인 항목이 설정되면 Select Live Capture Request 항복에 있는 [Start live Capture] 버튼을 눌러 Live Capture를 실행해 줍니다.

캡처가 시작되면 위에 화면처럼 새로운 창이 하나 생성이 되고 이창에서는 분석 결과를 보여주게 됩니다.

Live Capture Options에서는 스레드 개수, 요청 대기 시간, 토큰 길이에 따른 설정을 변경할수 있습니다.

Manual load

Manual load에서는 이미 생성된 샘플 토큰을 불러와서 분석을 수행 할수 있고, 이 샘플 토큰은 Live Capture를 통하여 생성하거나 Intruder 공격으로 획들 할수도 있습니다.

Analysis options

토큰에 대한 처리 방법과 분석하는 도안 사용하는 테스트 유형을 설정할 수 있습니다.