Token Generation
Token Generationはデフォルトではインストールされていないアドオンです。このアドオンを使用すると、セッション処理やCSRF保護に使用されるトークンなどの疑似ランダムトークンを生成および分析できます。
アドオンの追加手順は、add-onを追加するを参照ください。
セッショントークンは、ランダム性が重要になります。ランダムに発行されていない場合は、推測されセッションの盗難につながります。なので、そのランダム性をテストします。
- 生成、分析したいトークンを含むリクエストを見つける
- サイトタブの当該ページで右クリックし、Generate Tokensをクリック
- 生成、分析するトークンを選択します
- 生成ボタンをクリックします
- トークン生成タブに生成状況が表示され、終了すると分析結果が表示されます。Maximum EntropyがグリーンならOKです。
今回は、cookieのJSESSIONIDとします。
TypeとNameを選択します。Number of Tokensはある程度大きい数字にする必要があります。少なすぎると検証になりません。
トークンが検知できない場合、トークン列が空になります。
結果です。見方は、マニュアルにもないため少々分かりませんが、Entropyがランダム性を表しますので、少なくともMaximum Entropyの結果が見る必要があると思います。
