企业
在团队中配置Burp扫描
最近更新时间:2022年4月25日
阅读时间:3分钟
配置打bur扫描在团队中,与以前的版本的过程大致相同bepaly下载软件 。在本节中,我们将为完整的配置过程提供分步说明。
笔记
尽管我们继续支持遗产“ Burp Scan”选项,但对于大多数用户,我们建议配置站点驱动的扫描反而。
先决条件
- 你有创建了API用户在bepaly下载软件 并可以访问相应的API密钥
- 你有安装了插件在团队中。
- 您已经熟悉Burp Suite Enterprise Edition的站点匹配规则。
创建BURP扫描构建步骤
以下步骤是将团队与Burp Suite Enterprise Edition集成的最低配置要求。
- 登录团队。
- 打开要合并的管道漏洞扫描。另外,如果您只想测试集成过程,请创建一个新的虚拟项目。
- 如果您想扫描您在Burp Suite Enterprise Edition中已经配置的现有站点,请确保您的管道将此应用程序部署到同一URL。另外,如果您不希望将扫描与现有站点匹配,请确保将应用程序部署到唯一的URL。
添加新的构建步骤,然后选择跑步者类型命令行。添加一个自定义脚本,该脚本将呼应要扫描的运行应用程序的顶级URL并将其分配给变量
burp_scan_url
如下:echo burp_scan_url = https://application-to-scan.com
此步骤将在其构建日志中以正确格式输出目标URL,以便插件在下一步中处理。如果您有一个更具动态的部署过程,例如,到Docker容器,则应多次重复此命令以输出每个相关的URL。所有这些都将进行汇总和扫描。
- 添加另一个新的构建步骤,但是这次选择跑步者类型打bur扫描。
- 输入您的Burp Suite Enterprise Edition REST API端点的URL。这是您较早创建API用户后复制的URL。确保您包括适当的协议和端口。
如果您想能够下载扫描报告,请按以下网址从此URL中排除API键,然后在下面的专用字段中输入API键。这是推荐的方法。
URL:https:// your-enterprise-server:8080 API键:your-api-key
如果您不想下载扫描报告,则可以在URL中包含API。在这种情况下,您应该将API键字段留空。我们不建议这种方法,因为它主要是为了在调整输入字段之前对遗产集成提供持续的支持。
URL:https:// your-enterprise-server:8080/api/your-api-key API键:[空白]
- 调整各种可选设置微调扫描及其结果将如何影响您的构建。对于“ Burp扫描”,您还可以选择:
- 保存管道。
测试您的集成
完成配置构建步骤后,最好检查集成是否正常工作并且您的扫描能够成功运行。
- 启动一个按需建立,并查看团队中的构建日志。您应该看到扫描初始化并开始爬行。在整个扫描过程中,您可以通过监视构建日志检查状态。发现的问题也将输出到日志中。
- 在Burp Suite Enterprise Edition中,转到您的网站并打开扫描标签。您应该在列表中看到团队发射的扫描。