我的应用是单页应用程序。它包括以下模块:添加用户、编辑用户、删除用户、设置等。
我使用Burp Proxy收集了HTTP历史记录中的所有URL。
我想对我指出的模块进行扫描、SQL注入和XSS攻击。
1) 首先,我想确定是否值得在客户端存在html和js文件且所有逻辑都在Webapi中的情况下进行扫描。
2) 如何在所有模块之间维护HTTP会话?
3) 我可以像soap UI一样自动按顺序运行吗?
1个回答
0
关于您提到的第一点,我建议是的,因为JS函数是安全问题中最大的罪魁祸首,如果JS调用Ajax调用,则可以从客户端传递可执行查询。此外,一些客户要求安全报告,因此Burp干净报告有助于SOW。
关于第二点,您不需要担心Http会话,我使用过Burp Prof版本1.5和1.6,只需要正确记录步骤,以便在执行时按照相同的步骤进行。Burp支持所有与浏览器类似的会话处理支持。
关于第三点,Burp Spider从您记录的顺序开始,但之后蜘蛛会根据服务器的负载和响应继续进行。
- Ritesh Srivastava
2
Chan,你试过这个了吗?如果你遇到任何问题,请告诉我。 - Ritesh Srivastava
在维护会话方面遇到问题...尝试时得到会话超时的错误。 - ChanGan
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接