Burp Suite'身份验证的扫描功能使用户即使需要复杂的登录顺序,用户也可以扫描目标Web应用程序的特权领域。beplay体育能用吗此利用Burp的浏览器 - 使用随附的Burp Suite Navigation Recorder扩展程序将您的登录操作记录存储在JSON中。然后可以传递给打扫扫描仪用于自动测试。认证的扫描都可以在两者中使用Burp Suite Enterprise Edition和Burp Suite专业人士,并实现对现代Web应用程序的有效测试。beplay体育能用吗
Burp Suite 2021.9.1带来了一些强大的新开发项目 - 包括对身份验证扫描作品方式进行的许多幕后改进。现在,您可以在许多新上下文中记录登录序列 - 帮助您测试当今更复杂的Web应用程序。beplay体育能用吗在这篇文章中,我们将仔细研究版本2021.9.1中获得的经过身份验证的扫描功能。
您可能还想看到最新的Burp Suite发行笔记。
新的 - iframes
如今,Web应用程序要使用很常见beplay体育能用吗iframe登录过程中的元素。尽管许多系统都使用它们,但对于扫描仪而言,IFRAME可能是有问题的 - 鉴于它们本质上是嵌入另一个页面中的页面(直到拥有单独的URL)。
截至2021.9.1版本,Burp Suite能够在IFRAMES中记录和重播交互 - 记录输入的序列。你们当中的敏锐眼可能注意到导航记录器的JSON输出中的一个新属性称为frameid,这是该功能的关键 - 唯一识别iframe。
新的动画元素
当Burp扫描仪需要单击一个元素才能重播登录时,它会启动一系列事件,这些事件最终导致Burp的Chromium浏览器提供一组坐标,以将单击事件发送到。但是有了动画元素,这有点棘手。在完成标识和位置过程所花费的时间内,该元素可能已移至其他位置。
这曾经意味着在记录登录过程中处理动画元素(包括Microsoft SSO在内的系统使用)时,Burp扫描仪可能会遇到问题。截至2021.9.1版本,Burp Scanner现在等待此类动画在发送操作之前完成动画制作 - 解决此问题。
有关导航录音机和Burp扫描仪如何一起工作的更多信息,请查看我们的扫描仪团队最近的博客文章Burp Suite如何记录登录。
新的基于DOM的重定向
从扫描的角度来看,JavaScript的一个问题是,它并不总是直接查看何时执行。例如,页面的身体元素可能包含一个负载事件处理程序(一旦完整加载页面)将用户重定向到登录页面。一个例子是,当页面在将用户重定向到登录屏幕之前,在一个页面显示一定时间段内的信息消息时。
Burp Scanner现在能够在身份验证的扫描过程中更好地处理此类重定向 - 在测试现代Web应用程序时会增加实用程序。beplay体育能用吗在引擎盖下也进行了更改,以使Burp扫描仪更好地了解页面何时完成 /安装。考虑到许多现代网络内容的极其动态的性质,这本身就是一项棘手的任务。beplay体育能用吗
新的-SVG元素
与我们的用户交谈时,我们意识到了Burp Suite的身份验证扫描功能的问题,在该功能中,BURP扫描仪可能会被包含嵌套SVG图像的按钮(例如图标)混淆。这可能会导致扫描仪单击图像,而不是按钮。
发布2021.9.1通过更改Burp Suite标识SVG元素的方式来解决此问题。以前,Burp Suite无法记录有关SVG在DOM中位于位置的信息,但现在可以 - 包括XPATH。XPATH很重要,因为它允许元素位于DOM中。自2021.9.1以来,Burp Suite将使用SVG名称空间正确识别图像 - 解决此问题。
新的 - 多选
尽管它肯定代表了一个有点利基的用例,但Burp Suite 2021.9.1还增加了处理用户可以从列表中选择一个或多个选项的情况的功能。这通常被称为多选选择元素的位置多已设置属性)。如果您碰巧在野外遇到一个,则Burp Suite通过身份验证的扫描来处理此类元素的能力将使测试效率更高。
直到下一次
如您所见,现代的Web应用程序登录序列比简单的beplay体育能用吗HTML形式要复杂得多。但是Burp Suite的持续发展正在帮助它满足当今的网络安全专业人员的需求。beplay体育能用吗
是否使用老式的BURP套件申请登录选项,或使用身份验证的扫描测试现代功能的功能,我们已为您提供覆盖。
不要忘记 - 最新的游戏中呆在循环中,并通过关注来跟上最新的Burp Suite版本beplay官网可以赌Twitter上的Portswigger。
