Z dodawaniem scope'a w Burpie zawsze jest trochę ambiwalencji. Z jednej strony dobrze go skonfigurować żeby uniknąć strzelenia w coś, co nie miało być celem. Warto też w tym celu żeby sobie zaznaczyć w ustawieniach proxy żeby nie przechwytywało ruchu spoza scope'u (odsieje to np. ruch jaki generują przeglądarki/wyszukiwarki itp.) Z drugiej strony czasem warto na początku zostawić otwarty scope i pasywnym przeklikiwaniem zobaczyć z czym komunikuje się aplikacja - można w ten sposób odkryć jakieś ukryte domeny, serwery API, czy inne komponenty, które nie były w początkowym scop'ie, a które warto wskazać klientowi i być może uwzględnić w testach. Pzdr
Dzięki za komentarz. Tak masz racje, zawsze trzeba popatrzeć z czym strona się komunikuje po za scope, tylko nie wolno tego atakować. Scope zawsze warto skonfigurować na początku, to z czym strona się komunikuje możesz zobaczyć już sterując filtrem w historii Burp. Po prostu na początku projektu nie zaznaczasz opcji "Show only in-scope items".
Z dodawaniem scope'a w Burpie zawsze jest trochę ambiwalencji.
Z jednej strony dobrze go skonfigurować żeby uniknąć strzelenia w coś, co nie miało być celem. Warto też w tym celu żeby sobie zaznaczyć w ustawieniach proxy żeby nie przechwytywało ruchu spoza scope'u (odsieje to np. ruch jaki generują przeglądarki/wyszukiwarki itp.)
Z drugiej strony czasem warto na początku zostawić otwarty scope i pasywnym przeklikiwaniem zobaczyć z czym komunikuje się aplikacja - można w ten sposób odkryć jakieś ukryte domeny, serwery API, czy inne komponenty, które nie były w początkowym scop'ie, a które warto wskazać klientowi i być może uwzględnić w testach.
Pzdr
Dzięki za komentarz. Tak masz racje, zawsze trzeba popatrzeć z czym strona się komunikuje po za scope, tylko nie wolno tego atakować. Scope zawsze warto skonfigurować na początku, to z czym strona się komunikuje możesz zobaczyć już sterując filtrem w historii Burp. Po prostu na początku projektu nie zaznaczasz opcji "Show only in-scope items".
Świetne. Dziękuję.
Proszę :)
Dobrze oby tak dalej :)
Dzięki ;)