打开网易新闻 查看精彩图片

企业Web网站很多直接对Internet直接提供服务,往往会被黑客作为恶意攻击的突破口,Web的安全和企业的信息安全高度相连。

现实的管理中,在安全制度不完善的情况下,网站开发人员和维护人员经常会因为紧急故障排除,临时调整等原因,未遵循发布管理或者变更管理流程就上线或变更。安全人员往往在出现问题后追查时才发现,之前的安全环境或者代码已经都变更了。

今天介绍如何GitHut上的SimpleAutoBurp脚本(python脚本)实现网站的定时的自动扫描,这样能够在更短的时间发现Web系统的漏洞。

1. 工作原理:

利用Crontab(linux平台)或任务排程(windows平台)定期执行SimpleAutoBurp.py,该脚本利用BurpsuitePro的RESTAPI和配置文件config.json对目标主机进行web扫描。

2. 主文件:SimpleAutoBurp+Config.json

SimpleAutoBurp.py 是调用Burp suite API的脚本,config.json是其配置文件

SimpleAutoBurp.py

打开网易新闻 查看精彩图片
打开网易新闻 查看精彩图片
打开网易新闻 查看精彩图片
打开网易新闻 查看精彩图片

Config.json(这里面配置要扫描的站点, APIKEY在BurpSuite里面生成)

打开网易新闻 查看精彩图片

3.Burp suite pro REST API服务开启方法

打开网易新闻 查看精彩图片

使用SimpleAutoBurp来及时发现网站的安全是一种补救措施,我们更应该建立和遵循安全的软件发布流程,标准的软件发布流程我们可以参考ITIL中的发布,部署流程,也可以参考Microsoft的SDL流程。

关注我,带你知晓网络安全发展动态