我的应用程序是单页应用程序。它具有以下模块。。添加用户，编辑用户，删除用户，设置。等等。，

我已经使用Burp Proxy收集了HTTP历史记录中的所有url。

我想对我指出的模块进行扫描，SQL注入(inject)，XSS。

1)首先，我想确保值得进行扫描，因为客户端中存在html和js文件，并且所有逻辑都在Webapi中。

2)如何在所有模块之间维护HTTP session ？

3)我可以像soap UI的工作原理一样自动顺序运行吗？

关于您的观点1我建议是，因为js函数是安全问题中的最大罪魁祸首，如果JS调用ajax调用，我们可以从客户端传递可执行查询。另外，一些客户要求提供安全报告，因此Burp清除报告可在SOW中提供帮助。

在第2点上，您不必担心Http session ，我使用了burp prof版本1.5和1.6，您只需要正确记录步骤，以便在执行时遵循相同的步骤。 Burp支持所有类似于浏览器的 session 处理支持。

在第3点上，打p蜘蛛会从您记录的序列开始，但之后蜘蛛会继续加载并从服务器进行响应。