Wie man HTTP Session in Burp-Suite beibehalten?

Question

Meine Anwendung ist eine einseitige Anwendung. Es hat folgende Module .. Benutzer hinzufügen, Benutzer bearbeiten, Benutzer löschen, Einstellungen. usw.,

Ich habe alle URLs im HTTP-Verlauf mit Burp Proxy gesammelt.

Ich wollte Scan, SQL Injection, XSS für die Module, auf die ich hingewiesen habe.

1) Zuerst wollte ich sicherstellen, dass es lohnt Scannen als html zu tun und JS-Dateien gibt es in der Client-Seite und die gesamte Logik ist in WebAPI ..

2) Wie eine halten HTTP Sitzung über alle Module?

3) Kann ich automatisch sequenziell wie Soap UI arbeiten?

Answer 1

auf Ihren Punkt 1 Ich schlage vor, ja, weil die js Funktionen die größten Täter in Sicherheitsproblemen sind, können wir ausführbare Abfrage vom Client übergeben, wenn die JS den Ajax-Aufruf aufrufen. Auch einige Kunden fordern die Sicherheitsberichte, damit der Burp-Clean-Bericht in der SOW helfen kann.

über Punkt 2 müssen Sie sich nicht um die HTTP-Sitzung sorgen, ich habe burp prof Version 1.5 und 1.6 verwendet und Sie müssen nur die Schritte korrekt aufzeichnen, so dass während der Ausführung die gleichen Schritte folgen. Burp unterstützt die gesamte Session-Handling-Unterstützung ähnlich wie der Browser.

auf Punkt 3 Burp Spider starten mit der Sequenz, die Sie aufzeichnen, aber danach Spider geht auf die Last und Antwort von Servern.