6

我的应用程序是单页应用程序。它有以下模块.. 添加用户、编辑用户、删除用户、设置。ETC。,

我使用 Burp Proxy 收集了 HTTP 历史记录中的所有 url。

我想对我指出的模块进行扫描、SQL 注入、XSS。

1)首先,我想确保值得进行扫描,因为客户端存在 html 和 js 文件,并且所有逻辑都在 Webapi 中。

2) 如何跨所有模块维护 HTTP 会话?

3) 我可以像soap UI 一样自动顺序运行吗?

4

1 回答 1

0

关于您的第 1 点,我建议是的,因为 js 函数是安全问题的最大罪魁祸首,如果 JS 调用 ajax 调用,我们可以从客户端传递可执行查询。还有一些客户需要安全报告,所以 Burp clean 报告在 SOW 中有所帮助。

在第 2 点上,您无需担心 Http 会话,我使用了 burp prof 版本 1.5 和 1.6,您只需正确记录步骤,以便在执行时遵循相同的步骤。Burp 支持所有类似于浏览器的会话处理支持。

在第 3 点上,burp spider 从您记录的序列开始,但在该蜘蛛继续加载并从服务器响应之后。

于 2017-03-10T05:28:24.420 回答