我的应用程序是单页应用程序。它具有以下模块。。添加用户,编辑用户,删除用户,设置。等等。,

我已经使用Burp Proxy收集了HTTP历史记录中的所有url。

我想对我指出的模块进行扫描,SQL注入(inject),XSS。

1)首先,我想确保值得进行扫描,因为客户端中存在html和js文件,并且所有逻辑都在Webapi中。

2)如何在所有模块之间维护HTTP session ?

3)我可以像soap UI的工作原理一样自动顺序运行吗?

最佳答案

关于您的观点1我建议是,因为js函数是安全问题中的最大罪魁祸首,如果JS调用ajax调用,我们可以从客户端传递可执行查询。另外,一些客户要求提供安全报告,因此Burp清除报告可在SOW中提供帮助。

在第2点上,您不必担心Http session ,我使用了burp prof版本1.5和1.6,您只需要正确记录步骤,以便在执行时遵循相同的步骤。 Burp支持所有类似于浏览器的 session 处理支持。

在第3点上,打p蜘蛛会从您记录的序列开始,但之后蜘蛛会继续加载并从服务器进行响应。

关于burp - 如何在Burp套件中维护HTTP session ?,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/42416131/

10-09 19:36