复杂的登录序列(例如(SSO)上的单符号)通常会引起Web漏洞扫描仪的头痛。beplay体育能用吗但bepaly下载 比大多数人聪明。多亏了像Burp Suite导航录音机,两者的用户bepaly下载软件 和Burp Suite专业人士可以坐下来观看Burp扫描仪为他们登录。
这使BURP扫描仪可以访问目标应用程序的特权领域 - 爬网和扫描它,就像正常情况一样。如果您使用Burp Suite Enterprise Edition在大型应用程序组合中自动扫描,这一点尤其有用。只需一次记录应用程序的登录顺序,然后让Burp扫描仪负责其余的登录顺序。
“记录的登录使您能够记录复杂的身份验证序列,如果不使用浏览器,这是不可能的。”
测试Web安全性漏洞时,至关重要的beplay体育能用吗是要覆盖尽可能多的攻击表面。但是,如果该攻击表面部分隐藏在特权区域内(例如用户仪表板),该怎么办?身份验证的扫描允许Web漏洞扫描仪登录以搜索此类区域内的漏洞。beplay体育能用吗
使用简单的登录功能,身份验证的BURP扫描仪与为其提供有效的凭据(例如用户名和密码)一样容易。然后,Burp扫描仪将识别HTML登录表单,并在爬行和扫描时使用您的数据来验证自身。
但是,对于(SSO)上的单符号等更复杂的登录序列,自动化并不是那么简单。这样的系统通常会大量使用JavaScript,这意味着它们必须在与之互动之前在浏览器中渲染。幸运的是,Burp扫描仪可以执行JavaScript通过它的嵌入的铬浏览器- 使许多这些复杂登录过程都可以自动化。
使用Burp Suite导航录音机铬扩展,用户可以通过复杂的登录系统记录路径以供将来使用。在您自己的Chrome安装中使用它,或Burp Suite的嵌入式Chromium浏览器(Burp Suite Professional),Burp Suite将把这条路径存储为JSON。无论是外部SSO,多步形式还是其他更任意的过程,Burp Suite的浏览器驱动扫描仪都可以(除了一些例外)来验证自己。
通过使用Burp Suite Enterprise Edition在浏览器中录制复杂的登录序列,您可以像以前一样扫描它。Burp Suite Enterprise Edition使您可以在应用程序组合中扩展扫描常见的Web安全漏洞。beplay体育能用吗
Burp Suite Professional在测试使用复杂登录序列的应用程序时,生活变得更加轻松。但是该实用程序并没有结束。使用导航录音机记录您在网站上可以做的任何事情 - 非常适合重播Burp Suite内部的概念证明。
bepaly下载官网
经过调查的组织关心在现代Web应用程序中找到漏洞,例如JavaScript和单页应用程序。beplay体育能用吗资料来源:Portswigger客户的TechValidatebeplay官网可以赌调查
和所有人一样bepaly下载app 功能,burp扫描仪是不断发展- 为用户提高生产率和可靠性。随着Webbeplay体育能用吗应用程序身份验证变得越来越复杂,Burp Suite订阅者可以期望看到Burp Scanner认证的登录功能的持续和重大发展。
Burp Scanner当前无法处理的登录类型已经计划增强功能 - 包括使用弹出窗口的登录类型。与任何Web漏洞扫描仪一beplay体育能用吗样,BURP扫描仪无法规避对策(例如CAPTCHA),旨在专门拒绝进入自动化系统。
了解有关使用Burp Scanner录制登录的更多信息由领先的网络安全研究人员设计beplay体育能用吗bepaly下载 旨在反映熟练的手动测试仪的动作。受益于Portswiggebeplay官网可以赌r对卓越的持续承诺。
Burp扫描仪都位于两者的核心bepaly下载软件 和Burp Suite专业人士。这是超过14,000个组织中55,000多名用户的首选武器 - 从五旬节至DevSecops团队。
通过使用它高级爬行算法为了以与专家测试人员相似的方式建立目标的配置文件,BURP扫描仪可以揭示更多的攻击表面以利用 - 而无需用户干预。
打bur扫描仪可以处理JavaScript重型网络应用程beplay体育能用吗序,采用用户定义的登录序列,并解析许多API定义。它揭示了您需要看到的更多攻击表面。
通过使用目标应用程序自动对扫描进行身份验证,您可以增加可用于手动测试的资源。这提高了组织和个人测试人员的生产率。
我已经选择了BURP与我们推荐的扫描工具。考虑配置的灵活性,客户支持,捕获错误等方面的有效性。
Balaji Govindan
软件工程师
