我正在测试一个使用 OAuth2 和承载令牌来授权请求的应用程序 . 我遇到的问题是访问令牌在600秒(10分钟)后到期,然后所有请求变为 401 Unauthorized . 现在出现的问题是扫描程序可以继续使用错误的令牌运行,而不是自动刷新令牌 .
在这种情况下我想做的是应用程序自动重新登录 .
我试过的是使用选项 Issue current request 转到 Project options - > Session handling rules - > Add - > Rule Actions - > Check session is valid . 在那里,我检查"Authorization denied"的响应正文,它始终在HTTP 401上发送 . 发生这种情况后,我有一个宏发出请求以获取新的访问令牌 . 但是,我需要将新的访问令牌映射到 Authorization: Bearer -header . 有没有人这样做过?从这个视图可以很容易地使用cookie完成,但我找不到如何使用令牌 .
使用 Burp Suite Professional v1.7.14
1 回答
由于burp不会将(非cookie)标头视为会话标识符,因此在Burp Suite中很难执行此操作,尽管您可以使用宏,但这些宏会触发每个请求并且效率非常低 .
我建议使用此burp扩展,旨在解决此问题:https://github.com/alexlauerman/UpdateToken