未经许可，不得转载。

正文

在分析 Example.com 的认证机制时，我注意到一个特定的 cookie，USER_ID，包含了一个具有预测性的会话标识符，其格式为：

USER_ID="VYCVCDs-TZBI:XXXX-random-data"

其中，XXXX 是由四个大写字母组成的部分，我使用 Burp Suite Intruder 设置了以下模糊测试模式：

Cookie: USER_ID="VYCVCDs-TZBI:FUZZ-random-data"

为了生成所有可能的四个字母组合，我运行了以下命令