Rest Burp如何准确地扫描请求_Rest_Security_Web Applications_Penetration Testing_Burp

Rest Burp如何准确地扫描请求

rest security web-applications

Rest Burp如何准确地扫描请求,rest,security,web-applications,penetration-testing,burp,Rest,Security,Web Applications,Penetration Testing,Burp,我刚开始使用Burp professional suite 2.0.6测试版。在代理记录之后，我只需右键单击并使用默认配置执行扫描我想知道扫描中到底发生了什么。它包括笔测试，但如何它是否向服务器发送请求并分析响应，如果是，以POST API调用为例。Burp是否替换输入并将调用发送到服务器？但在UI中，我看不到创建的任何新内容（如POST方法）。那么打嗝是如何分析反应的呢在我的应用程序中，如果提交了表单，响应将是“Form submitted.submitted ID:9898”，这是JS

我刚开始使用Burp professional suite 2.0.6测试版。在代理记录之后，我只需右键单击并使用默认配置执行扫描

我想知道扫描中到底发生了什么。它包括笔测试，但如何

它是否向服务器发送请求并分析响应，如果是，以POST API调用为例。Burp是否替换输入并将调用发送到服务器？但在UI中，我看不到创建的任何新内容（如POST方法）。那么打嗝是如何分析反应的呢

在我的应用程序中，如果提交了表单，响应将是“Form submitted.submitted ID:9898”，这是JSON输出

有人请指导或教我正确的打嗝扫描请求的方法。

您可以使用BApp存储中的Logger++扩展来监视打嗝扫描程序的活动：

谢谢，我将尝试。通过使用Logger++，我可以看到请求及其相应响应中的更改。如上所述，POST（创建表单）调用被发送到服务器，但在应用程序的UI中，并没有基于该请求创建表单。你能再给我解释一下吗？我不能扫描一个API调用。它扫描代理历史记录下的所有内容。@Bala-这可能更适合发送电子邮件给support@portswigger.net听起来应用程序正在拒绝表单POST，可能是验证失败或缺少反CSRF令牌。Logger++中的响应应该显示更多信息。如果您在代理历史记录中选择一个项目，右键单击并扫描，则Burp将仅扫描该项目。现在，我可以扫描单个请求。但是如何更改其中一个标题并执行扫描？而且，我发现仪表板下的请求计数有很大的不同，当我右键单击并从站点地图扫描时，与扫描单个请求相比，请求计数要少得多。为什么会这样？