未经许可,不得转载。
正文
在分析 Example.com 的认证机制时,我注意到一个特定的 cookie,USER_ID,包含了一个具有预测性的会话标识符,其格式为:
USER_ID="VYCVCDs-TZBI:XXXX-random-data"
其中,XXXX 是由四个大写字母组成的部分,我使用 Burp Suite Intruder 设置了以下模糊测试模式:
Cookie: USER_ID="VYCVCDs-TZBI:FUZZ-random-data"
为了生成所有可能的四个字母组合,我运行了以下命令�
