我的应用程序是单页面应用程序。它有以下模块..添加用户,编辑用户,删除用户,设置。等,
我使用Burp Proxy收集了HTTP历史记录中的所有网址。
我想为我指出的模块做Scan,SQL Injection,XSS。
1)首先,我想确保扫描是值得的,因为html和js文件在客户端,并且所有逻辑都在Webapi中。
2)如何在所有模块中维护HTTP会话?
3)我可以像soap UI一样自动顺序运行吗?
答案 0 :(得分:0)
关于你的观点1我建议是的,因为js函数是安全问题中最大的罪魁祸首,如果JS调用ajax调用,我们可以从客户端传递可执行查询。还有一些客户需要安全报告,因此Burp clean报告在SOW中提供帮助。
在第2点你不需要担心Http会话,我使用burp prof版本1.5和1.6你只需要正确记录步骤,这样在执行时它遵循相同的步骤。 Burp支持所有类似于浏览器的会话处理支持。
第3点burp spider上的以您记录的序列开始,但之后蜘蛛继续加载服务器的响应和响应。