Burpsuite Pro漏洞扫描程序的Robot框架库
RoboBurp2的Python项目详细描述
roboburp2
Burpsuite Pro的Robot框架库
Write all your BurpSuite Pentest Automations in Natural Language Syntax recipes
注意:您不应在CI/CD环境中使用此选项,因为它将违反Burpsuite许可策略。 burp只允许ci/cd需求利用burp的企业产品。 您可以在笔记本电脑/测试环境中将其用作戊酯,以实现自动化
请参阅测试(目录)以获取如何使用此项的示例。随后将播放视频
安装
- 您需要有Burpsuite Pro许可证才能使用它
- 安装
pip install RoboBurp2
来安装这个和它的deps。我建议pipenv
- 使用这个库,可以自动扫描和爬行burp及其新的2.0api
限制
- 这可以一次扫描一个应用程序。尚未提供多个扫描任务。
- 这个库可以启动burp,但是burp似乎没有提供关闭它的api调用。所以它不会
- 当burp启动时,您可能需要单击一些提示以进入操作模式。 我建议你给它足够的睡眠时间让它发生这种情况
关键词
| start burpsuite | <PATH> |
这将从系统中的路径启动burpsuite。这需要是burpsuite_pro.jar文件的绝对路径
| initiate crawl and scan against target | auth_logins (dictionary) | config_name(string) |
这是“默认扫描”,您可以在其中爬网,然后审核(扫描)。 如果需要执行经过身份验证的爬网,则需要为 “auth_logins”参数。
您还可以从可以找到的NamedConfigurations
列表中指定配置名称
在Burpsuite Pro的顶部导航栏中Burp >> Configuration library
这将返回一个scan_id
,您可以稍后使用它来获取状态和结果
| initiate scan against target | config_name |
这和上面差不多,只是应该用这个 当你已经有了“爬网”应用程序的测试自动化并且你只使用 此模式为“审核”。在这种情况下,您需要提供配置名称。 最好只有审核配置名,否则burp将尝试爬网和审核(默认值)
这将返回一个scan_id
,您可以稍后使用它来获取状态和结果
| get burp scan status for id | scan_id |
这将获取可用于连续等待的特定扫描id的扫描状态
以便扫描完成。一旦scan_status
显示为succeeded
,此函数将停止
| get burp scan results for id | scan_id | filename (optional) |
这将获取特定扫描id的扫描结果,并将结果写入json文件
您可以将要写入的文件的完整路径作为参数提供。其他
库在当前工作目录中写入名为burp_scan_results.json
的文件