如何在 Burp 套件中维护 HTTP 会话?
How to Maintain HTTP Session in Burp suite?
我的应用程序是单页应用程序。它有以下模块.. 添加用户、编辑用户、删除用户、设置。等等,
我已经使用 Burp 代理收集了 HTTP 历史记录中的所有 url。
我想对我指出的模块进行扫描、SQL 注入、XSS。
1) 首先我想确定是否值得进行扫描,因为 html 和 js 文件在客户端,所有逻辑都在 Webapi 中..
2) 如何跨所有模块维护 HTTP 会话?
3) 我可以 运行 像 soap UI 一样自动按顺序工作吗?
关于你的第 1 点,我建议是,因为 js 函数是安全问题的最大罪魁祸首,如果 JS 调用 ajax 调用,我们可以从客户端传递可执行查询。还有一些客户需要安全报告,所以 Burp clean 报告有助于 SOW。
关于第 2 点,您无需担心 Http 会话,我使用的是 burp prof 1.5 和 1.6 版,您只需要正确记录步骤,以便在执行时遵循相同的步骤。 Burp 支持所有类似于浏览器的会话处理支持。
在第 3 点 burp spider 以您记录的序列开始,但在该 spider 继续从服务器加载和响应之后。
我的应用程序是单页应用程序。它有以下模块.. 添加用户、编辑用户、删除用户、设置。等等,
我已经使用 Burp 代理收集了 HTTP 历史记录中的所有 url。
我想对我指出的模块进行扫描、SQL 注入、XSS。
1) 首先我想确定是否值得进行扫描,因为 html 和 js 文件在客户端,所有逻辑都在 Webapi 中..
2) 如何跨所有模块维护 HTTP 会话?
3) 我可以 运行 像 soap UI 一样自动按顺序工作吗?
关于你的第 1 点,我建议是,因为 js 函数是安全问题的最大罪魁祸首,如果 JS 调用 ajax 调用,我们可以从客户端传递可执行查询。还有一些客户需要安全报告,所以 Burp clean 报告有助于 SOW。
关于第 2 点,您无需担心 Http 会话,我使用的是 burp prof 1.5 和 1.6 版,您只需要正确记录步骤,以便在执行时遵循相同的步骤。 Burp 支持所有类似于浏览器的会话处理支持。
在第 3 点 burp spider 以您记录的序列开始,但在该 spider 继续从服务器加载和响应之后。