私は最近のWebアプリケーション評価の一部にBurp Suiteのアクティブスキャン機能を利用しており、メディアレスポンスである、または特定の特性を持つなどの特定の特性を持つURLをスキャンキューから削除するアクティブスキャナーの機能について質問がありましたファイル拡張子。
多くの場合、サイトをスパイダーした後、このツールを使用したスキャンに費やす時間を大幅に延長するパラメーターのないURLが殺到します。以上のことから、私の主な質問は、アクティブなスキャンキューからこのタイプのURLを削除した場合の影響と、アプリケーションの評価中にこのタイプのURLをスキップしたときに発生するその他の問題です。これらのURLを除外すると、スキャンの品質が大幅に低下しますか?
アクティブ/パッシブスキャンエンジンに送信される各URI(パラメーターかどうかにかかわらず)を計画して制御するのが最善です。
エンゲージメントツール(通常は[ターゲットサイトマップ]タブから[ターゲットの分析]として選択)の ターゲットアナライザー は、パラメータを選択して[侵入者に送信]するのに最適な場所です。通常、スキャナーに送信するものを自動化したり、Intruderのすべての機能を使用したりすることで、Intruderの障害注入戦略をカスタマイズできます。前者は、各挿入ポイントをカスタマイズする 位置 をカスタマイズし、Intruderメニューから「定義済みの挿入ポイントをアクティブにスキャンする」を選択することによって実現されます。後者は、Kali Linuxにある SecLists プロジェクトなどの標準のフォールト注入リストでIntruderの全機能を使用することで実現できます。
質問に完全に答えるには、アプリケーションを理解するのが最善です。 RESTfulベースのアプリや、controller-action-idパラダイムを使用するアプリなどでは、パラメータがURIの一部である場合があります。 Daniel Miesslerのブログから HTTP security の詳細を学んでください。したがって、[ターゲット]タブでアプリの機能をマップし、パラメーターとロジックを理解してから、ターゲットアナライザーに移動し、適切な位置をすべて選択し、正しいペイロードと応答分析で各挿入ポイントをテストすることが重要です。多くの場合、これはBurp Repeaterで、おそらくブラウザーと一緒に行うのが最善です。テスト計画ではアプレット、ActiveX、Ajax、Flash、またはSilverlightのパラメーターが欠落していることがよくあります。