Come controllare la casualità di un hash?

Naviga le tue risposte
1

Ho una API REST in cui il server assegna un token univoco ogni volta che un utente ha effettuato l'accesso. È un hash contenente numeri, lettere e uno o due caratteri speciali. Voglio controllare l'entropia di questi token. Se si trattasse di ID di sessione avrei potuto usare l'analizzatore di ID di sessione di webscarab. Ma dal momento che la risposta api è in JSON, non posso usare webscarab.

Esistono metodi per controllare l'entropia del parametro. Posso raccogliere tutti questi valori (100 o 1000) in un file, ma quello che mi manca è un metodo per l'analisi di entropia. Sapone ha una tale funzionalità? Esistono metodi sicuri per farlo?

    
posta Anonymous Platypus 19.06.2015 - 09:01
fonte

1 risposta

3

Dove ho riscontrato questo problema in passato, l'approccio migliore che ho visto è quello di scrivere qualcosa nel tuo linguaggio di programmazione preferito (ad es. Ruby / Python / PowerShell) per recuperare le istanze dei token e quindi scrivere li a un file. Una volta ottenuto un campione adatto, è possibile caricarlo nello strumento di analisi di entropia prescelto.

Un'altra opzione sarebbe quella di utilizzare Burp Suite e il suo strumento sequencer, che consente di specificare una posizione personalizzata nella risposta HTTP per il token da cui acquisire. (maggiori informazioni qui )

    
risposta data 19.06.2015 - 09:19
fonte

Leggi altre domande sui tag

La mia identità può essere rivelata tramite l'accesso WiFi? IIS - RequestFiltering per #