个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
26
4
我的应用程序是单页应用程序。它有以下模块.. 添加用户、编辑用户、删除用户、设置。 ETC。,
我使用 Burp Proxy 收集了 HTTP 历史记录中的所有 url。
我想对我指出的模块进行扫描、SQL 注入(inject)、XSS。
1)首先,我想确保值得进行扫描,因为客户端存在 html 和 js 文件,并且所有逻辑都在 Webapi 中。
2) 如何跨所有模块维护 HTTP session ?
3) 我可以像soap UI 一样自动顺序运行吗?
最佳答案
关于您的第 1 点,我建议是的,因为 js 函数是安全问题的最大罪魁祸首,如果 JS 调用 ajax 调用,我们可以从客户端传递可执行查询。还有一些客户需要安全报告,所以 Burp clean 报告在 SOW 中有所帮助。
在第 2 点上,您无需担心 Http session ,我使用了 burp prof 版本 1.5 和 1.6,您只需正确记录步骤,以便在执行时遵循相同的步骤。 Burp 支持所有类似于浏览器的 session 处理支持。
在第 3 点上,打嗝蜘蛛从您记录的序列开始,但之后蜘蛛继续加载并从服务器响应。
关于burp - 如何在 Burp 套件中维护 HTTP session ?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/42416131/
26
4
0
我的应用程序是单页应用程序。它有以下模块.. 添加用户、编辑用户、删除用户、设置。 ETC。, 我使用 Burp Proxy 收集了 HTTP 历史记录中的所有 url。 我想对我指出的模块进行扫描、
所以我一直在尝试使用我的手机通过 burp 获取请求/SSL。基本上我多次非常仔细地遵循这些步骤: Configuring your Browser to work with Burp Configu
Burp+Xray的联动使用 步骤如下, 1)首先,我们启动Xray的url监听功能,我们设置监听地址为127.0.0.1,端口为7777。监听的报告输出到xray文件夹根目录下的pro
最近需要在burp的intruder模块中写一个自定义的payload generator 然后我google了一下,按照网上的文章去做,但是有两个界面,我不知道该怎么做。 我应该同时实现它们还是什么
我想将 Burp 配置为我的 java 代码的代理,以查看请求和响应。Burp 作为 Web 浏览器之间的代理可以很好地工作,但它不适用于 Java 应用程序。 我已经在代码中添加了这样的行: Web
有一个Juice Shop易受攻击的应用程序,可作为docker镜像使用。我正在Windows 10上对其进行测试。 我能够使用以下命令运行该应用程序: docker pull bkimminich/
我正在使用 jquery mobile 开发混合 android 移动应用程序并在手机间隙运行我的应用程序。我想使用 BURP 套件测试此应用程序的安全问题。我是 BURP Suite 的新手。如何将
我正在开发具有 的应用程序SSL pinning 未实现 安全点开放。 下面这个方法负责使用 SSL 代码调用 API。我已经浏览了android官方文档。代码几乎相似。 private SSLSoc
我看到很多人都在谈论这2个工具 Burp 套件和 Wireshark 最适合渗透测试,但我很好奇它们各自的优缺点是什么?他们每个人在哪里会更好地使用,有什么区别? 最佳答案 Burp Suite是 申
我从昨天开始就面临这个问题,Burp 在尝试导入插件的 .jar 文件时开始显示以下错误,但 Netbeans 编译它没有问题。我通过 pom.xml 文件中的 Maven 依赖项导入 Seleniu
我正在尝试运行 Burp Suite 代理来从我的手机进行一些测试。 我已经设置了 Burp Suite 社区版 2.1.04我已将我的 wifi 设置为使用计算机的 IP 地址作为代理> 选项> 代
我正在尝试运行 Burp Suite 代理来从我的手机进行一些测试。 我已经设置了 Burp Suite 社区版 2.1.04我已将我的 wifi 设置为使用计算机的 IP 地址作为代理> 选项> 代
在 Burp Suite 中,来自 Project Options -> SSL我们可以使用特定主机名的密码导入 PKCS#12 文件。 我尝试使用以下命令手动导出 block 和 key 文件,然后
有没有一种方法可以隐藏在提交表单时回传的键和值。因为这些键值可以被黑客使用安全测试工具(例如 burp 套件)篡改吗? 最佳答案 虽然 HTTPS 用于保护传输中的数据,但没有切实可行的方法来防止用户
我有一个网站:https://abs:8443/myweb我使用 burp suite 作为本地代理: proxyIP = "127.0.0.1" proxyPort = 8080 然后我尝试通过 b
我有一个应用程序使用 OAuth 让用户登录 Linkedin。 应用或浏览器快速连续向 linkedin 发送两个 OAuth 请求,导致 LinkedIn 在几毫秒内返回两个响应。 这两个重复的请
当我遇到它的加密时,我试图让自己熟悉它的基本概念,简而言之,它的功能如下, 现在我看到我公司的 QA 工程师使用这个叫做 burp-suite 的工具来拦截请求。 我感到困惑的是,即使数据流经加密 c
为了获取 BurpSuite 报告,我尝试使用 REST API 将我的应用程序与 BurpSuite Scanner 集成。谁能帮我这个。 最佳答案 目前,Burp 没有内置的 REST API。一
我在默认网关上以透明模式设置了 burp 代理。 Burp 套件向基于 Web 的 HTTPS 客户端显示自签名证书并拦截流量。但是,它无法拦截基于 IP 的流量。 例如它可以拦截https://ab
我已正确配置 Burp 以在代理位置进行拦截 127.0.0.1:9090 我的 Internet Explorer 代理设置如下: 我还有一个名为 WebGoat 的网络服务器在 http://lo
我是一名优秀的程序员,十分优秀!