我正在测试一个使用OAuth2和承载令牌来授权请求的应用程序。我遇到的问题是访问令牌在600秒(10分钟)后到期,然后所有请求都变为401 Unauthorized。现在出现的问题是扫描程序可以继续使用错误的令牌运行,而不是自动刷新令牌。
在这种情况下,我想做的是应用程序自动重新登录。
我试过的是转到Project options - > Session handling rules - > Add - > Rule Actions - > Check session is valid选项Issue current request。在那里,我检查响应主体的“授权被拒绝”,它始终在HTTP 401上发送。在此之后我有一个宏发出请求以获取新的访问令牌。但是,我需要将新的访问令牌映射到Authorization: Bearer - 标头。有没有人这样做过?从这个视图中可以很容易地使用cookie完成,但是我找不到如何使用令牌。
使用Burp Suite Professional v1.7.14
答案 0 :(得分:0)
由于burp并没有将(非cookie)标题视为会话标识符,因此在Burp Suite中很难做到这一点,尽管您可以使用宏,但是每个请求都会触发低效的。
我建议使用此burp扩展程序,旨在解决此问题:https://github.com/alexlauerman/UpdateToken