使用教程丨将应用程序登录添加到 Burp Suite Enterprise Edition 中的站点

在Burp Suite Enterprise Edition 中创建或编辑站点时，您可以选择提供有效的应用程序登录信息，Burp Scanner在遇到站点上的任何登录表单时应提交该应用程序登录信息。这使其能够发现和审核只有经过身份验证的用户才能访问的内容。
您有以下两个选项可用于提供应用程序登录。请注意，每个站点只能使用这些选项之一。
添加登录凭据
如果您的站点只有基本的单步登录机制，您可以简单地添加用户名和密码组以及帮助识别它们的标签。
这适用于只有 2 个输入字段的经典登录表单。但是，选择此选项后，Burp Scanner 将无法处理例如涉及单点登录的更复杂的登录机制。在这种情况下，我们建议导入记录的登录序列以确保最大程度地覆盖您的扫描。
添加记录的登录序列
记录的登录序列本质上是一组指令，用于告诉 Burp Scanner 准确地登录站点的方式。这使其能够处理更复杂的登录机制，包括单点登录。
您可以使用我们专用的 Chrome 扩展程序快速轻松地创建记录的登录序列。当您在浏览器中手动执行登录序列时，该扩展程序会捕获您与网站的交互。它会自动生成一个基于 JSON 的“脚本”，然后您可以将其导入为您站点的应用程序登录名。当扫描开始经过身份验证的爬网时，它将打开一个新的浏览器会话并使用此脚本复制您的操作，从头开始执行完整的登录序列。
Burp Suite 企业版中记录登录序列的限制
在决定使用记录的登录序列之前，请注意以下限制：
记录的登录仅与浏览器驱动的扫描兼容。如果 Burp Scanner 未能初始化其嵌入式浏览器，扫描将无法启动。
仅当您拥有 Burp Scanner 2020.10 或更高版本时，浏览器驱动的扫描才可用。如果您禁用了 Burp Scanner 的自动更新，您可能需要手动升级它。
为了支持浏览器驱动的扫描，运行扫描的机器必须满足相关的系统要求。
记录的登录信息与双因素身份验证、字符选择密码或 CAPTCHA 不兼容。
Burp Scanner 目前无法重放依赖弹出窗口或<iframe>元素的登录序列。
使用记录登录时，Burp Scanner 将无法自行注册用户或通过提交无效凭据故意触发登录失败。因此，您的扫描配置中的任何“登录功能”爬网设置都将被忽略。
根据您的身份验证系统，扫描期间重复登录可能会被标记为可疑。这可能会触发爬虫无法处理的额外身份验证步骤或反机器人措施。在这种情况下，我们建议在禁用这些检查的测试实例上运行扫描。
如何记录 Burp Suite 企业版的登录顺序
要记录 Burp Suite Enterprise Edition 的登录序列以在扫描期间使用，您需要执行以下步骤：
1.打开您的 Chrome 浏览器并添加Burp Suite Navigation Recorder扩展。
2.在浏览器的右上角，单击扩展程序的图标。出现提示时，单击“打开设置”并启用“允许隐身”选项。
3.再次单击扩展名并选择“开始录制”。一个新的隐身窗口打开。
4.在隐身窗口中，浏览到目标网站。红色轮廓表示正在录制该窗口。
5.完成您要捕获的登录序列。确保输入您希望 Burp Suite Enterprise Edition 在扫描期间使用的凭据。
6.根据需要执行其余的登录序列。确保您在本网站扫描范围内的页面上完成。
7.完成后，再次单击扩展图标并选择“停止录制”。生成的脚本会自动复制到剪贴板。如果您输入错误，您可以再次单击该图标重新记录登录顺序。如果您不小心丢失了剪贴板中的脚本，您还可以复制最后录制的序列。
8.在 Burp Suite Enterprise Edition 中，创建一个新站点或转到现有站点的“详细信息”选项卡。在“应用程序登录”下。选择“添加记录的登录序列”选项。
9.添加标签以帮助您记住这是哪个登录顺序。最后，将剪贴板中的数据粘贴到“粘贴脚本”字段中，然后单击“确定”。记录的序列将添加到应用程序登录列表中。
您现在可以对要用于扫描此站点的每组凭据重复此过程。例如，您可以记录一个以普通用户身份登录的登录序列和另一个以管理员身份登录的序列。
笔记
为了让 Burp Scanner 执行您记录的登录序列，它需要使用其嵌入式浏览器。即使您没有在扫描配置中启用“使用嵌入式浏览器进行抓取和审核”选项，对您上传记录的登录序列的任何站点的扫描也将自动使用嵌入式浏览器。
Burp Suite 企业版的记录登录序列故障排除
您有时可能会发现 Burp Scanner 无法在扫描期间重放记录的登录序列。尽管这不会导致扫描完全失败，但会阻止它执行经过身份验证的爬网。您可以采取几个步骤来解决这些问题。
•检查限制列表以确保您正在抓取的登录机制与记录的登录功能兼容。
•下载扫描的事件日志。为此，请选择扫描，转到“报告和日志”选项卡，然后单击“下载事件日志”。错误消息可能会告诉您问题是与登录序列本身有关还是与嵌入式浏览器有关。请注意，某些日志条目可能仅代表后来解决的临时故障。例如，如果目标站点强加了速率限制，您可能会看到许多条目表示爬虫无法登录。但是，它可能在稍后的扫描中成功登录。
•仔细检查登录序列是否在此站点扫描范围内的页面上完成。尽管在登录过程中爬虫会暂时被允许跟踪范围外的链接，但在您完成最终操作后，登录序列必须将您重定向到范围内的页面。