如何在Burp套件中維護HTTP會話？

Question

我的應用程序是單頁應用程序。它包含以下模塊：添加用戶，編輯用戶，刪除用戶，設置。

我已經使用Burp Proxy收集了HTTP歷史記錄中的所有網址。

我想爲我指出的模塊執行掃描，SQL注入，XSS。

1）首先，我想，以確保它是值得做的掃描HTML和JS文件都存在於客戶端和所有的邏輯是的WebAPI ..

2）如何保持一個HTTP跨所有模塊的會話？

3）我可以像soap UI的工作方式自動順序運行嗎？

Answer 1

您的觀點1我建議是的，因爲js函數是安全問題中最大的罪魁禍首，如果JS調用ajax調用，我們可以從客戶端傳遞可執行查詢。還有一些客戶要求安全報告，以便Burp清除報告可以幫助SOW。

關於第2點你不需要擔心Http會話，我使用burp prof版本1.5和1.6，並且只需要正確記錄步驟，以便在執行時遵循相同的步驟。 Burp支持類似於瀏覽器的所有會話處理支持。

第3點打嗝蜘蛛從你記錄的序列開始，但在那之後蜘蛛繼續從服務器加載和響應。