企业
在Jenkins配置Burp扫描
最近更新时间:2022年5月9日
阅读时间:3分钟
配置打bur扫描在詹金斯(Jenkins)中,与以前版本的过程大致相同bepaly下载软件 。在本节中,我们将为完整的配置过程提供分步说明。
笔记
尽管我们继续支持遗产“ Burp Scan”选项,但对于大多数用户,我们建议配置站点驱动的扫描反而。
先决条件
- 您的机器上安装了Java 11。
- 您正在使用Jenkins 2.164.1或更高
- 你有创建了API用户在bepaly下载软件 并可以访问相应的API密钥
- 你有安装了插件在詹金斯。
- 您已经熟悉Burp Suite Enterprise Edition的站点匹配规则。
在詹金斯创建Burp扫描构建步骤
以下步骤是将Jenkins与Burp Suite Enterprise Edition集成的最低配置要求。
- 登录詹金斯。
- 打开要合并的管道漏洞扫描。另外,如果您只想测试集成过程,则创建一个新的自由泳项目。
- 如果您想扫描您在Burp Suite Enterprise Edition中已经配置的现有站点,请确保您的管道将此应用程序部署到同一URL。另外,如果您不希望将扫描与现有站点匹配,请确保将应用程序部署到唯一的URL。
添加任一执行外壳或者执行Windows Batch命令构建步骤。在“命令”字段中,输入一个命令,该命令将呼应要扫描的运行应用程序的顶级URL并将其分配给变量
burp_scan_url
如下:echo burp_scan_url = https://application-to-scan.com
此步骤将在其构建日志中以正确格式输出目标URL,以便插件在下一步中处理。如果您有一个更具动态的部署过程,例如,到Docker容器,则应多次重复此命令以输出每个相关的URL。所有这些都将进行汇总和扫描。
- 添加另一个新的构建步骤,但是这次选择类型打bur扫描。
- 输入您的Burp Suite Enterprise Edition REST API端点的URL。这是您较早创建API用户后复制的URL。确保您包括适当的协议和端口。
如果您想能够下载扫描报告,请按以下网址从此URL中排除API键,然后在下面的专用字段中输入API键。这是推荐的方法。
URL:https:// your-enterprise-server:8080 API键:your-api-key
如果您不想下载扫描报告,则可以在URL中包含API。在这种情况下,您应该将API键字段留空。我们不建议这种方法,因为它主要是为了在调整输入字段之前对遗产集成提供持续的支持。
URL:https:// your-enterprise-server:8080/api/your-api-key API键:[空白]
- 调整各种可选设置微调扫描及其结果将如何影响您的构建。对于“ Burp扫描”,您还可以选择:
- 保存管道。
测试您的集成
完成配置构建步骤后,最好检查集成是否正常工作并且您的扫描能够成功运行。
- 按需启动构建,并查看詹金斯的控制台输出。您应该看到扫描初始化并开始爬行。在整个扫描过程中,您可以通过监视构建的控制台输出来检查状态。发现的问题也将输出到控制台。
- 在Burp Suite Enterprise Edition中,转到您的网站并打开扫描标签。您应该在列表中看到詹金斯发起的扫描。