![](http://dingyue.ws.126.net/2021/0726/557899e5p00qwuntd004qc000j600amm.png)
打开网易新闻 查看精彩图片
企业Web网站很多直接对Internet直接提供服务,往往会被黑客作为恶意攻击的突破口,Web的安全和企业的信息安全高度相连。
现实的管理中,在安全制度不完善的情况下,网站开发人员和维护人员经常会因为紧急故障排除,临时调整等原因,未遵循发布管理或者变更管理流程就上线或变更。安全人员往往在出现问题后追查时才发现,之前的安全环境或者代码已经都变更了。
今天介绍如何GitHut上的SimpleAutoBurp脚本(python脚本)实现网站的定时的自动扫描,这样能够在更短的时间发现Web系统的漏洞。
1. 工作原理:
利用Crontab(linux平台)或任务排程(windows平台)定期执行SimpleAutoBurp.py,该脚本利用BurpsuitePro的RESTAPI和配置文件config.json对目标主机进行web扫描。
2. 主文件:SimpleAutoBurp+Config.json
SimpleAutoBurp.py 是调用Burp suite API的脚本,config.json是其配置文件
SimpleAutoBurp.py
![](http://dingyue.ws.126.net/2021/0721/4b2a9ff2p00qwljjr001fd000j800ivp.png)
打开网易新闻 查看精彩图片
![](http://dingyue.ws.126.net/2021/0721/1a76e46ep00qwljkp0051d000hs00hnp.png)
打开网易新闻 查看精彩图片
![](http://dingyue.ws.126.net/2021/0721/d4be9a5bj00qwljhk001rc000hs00gjm.jpg)
打开网易新闻 查看精彩图片
![](http://dingyue.ws.126.net/2021/0721/3c8d06c1j00qwljhk0005c000hs0020m.jpg)
打开网易新闻 查看精彩图片
Config.json(这里面配置要扫描的站点, APIKEY在BurpSuite里面生成)
![](http://dingyue.ws.126.net/2021/0721/90986f09j00qwljhl0049c000ir008lm.jpg)
打开网易新闻 查看精彩图片
3.Burp suite pro REST API服务开启方法
![](http://dingyue.ws.126.net/2021/0721/6c9df633j00qwljhk000wc000hs00bjm.jpg)
打开网易新闻 查看精彩图片
使用SimpleAutoBurp来及时发现网站的安全是一种补救措施,我们更应该建立和遵循安全的软件发布流程,标准的软件发布流程我们可以参考ITIL中的发布,部署流程,也可以参考Microsoft的SDL流程。
关注我,带你知晓网络安全发展动态
热门跟贴