バンプスイートでHTTPセッションを維持する方法は？

Question

私のアプリケーションはシングルページアプリケーションです。それは以下のモジュールを持っています。ユーザーの追加、ユーザーの編集、ユーザーの削除、設定。

私は、Burp Proxyを使用してHTTP履歴内のすべてのURLを収集しました。

私が指摘したモジュールに対して、スキャン、SQLインジェクション、XSSを実行したかったのです。 HTTPを維持するためにどのように

1）まず私はhtmlとjsのファイルがクライアント側に存在し、すべてのロジックがWEBAPIであるように、走査を行うには、それは価値があることを確認したかった。..

2）すべてのモジュールにわたってセッション？

3）私は、SOAPのUIの仕組みと同じように自動的に順番に実行できますか？

Answer 1

あなたのポイント1 js関数がセキュリティ問題の最大の犯人であるため、私はyesを提案します.JSがajax呼び出しを呼び出すと、クライアントから実行可能なクエリを渡すことができます。また、一部の顧客はセキュリティレポートを要求しているので、BurpクリーンレポートはSOWに役立ちます。

ポイント2でHTTPセッションを心配する必要はありません。私はburp profバージョン1.5と1.6を使用しました。実行中に同じ手順を実行するようにステップを正しく記録するだけで済みます。 Burpは、ブラウザと同様に、すべてのセッション処理サポートをサポートしています。

あなたが記録するシーケンスでポイント3の蜘蛛の巣からスタートしますが、そのスパイダーはサーバーからの負荷と応答を続けます。