Интеграция c Burp Suite

Стингрей обеспечивает возможность передачи данных в различные инструменты анализа защищенности приложений, включая очень популярный и универсальный — Burp Suite. Такая интеграция призвана облегчить более тщательный анализ результатов сканирования.

Получение результатов работы модуля Сетевая активность

Чтобы передать собранные в результате сканирования данные в Burp Suite, необходимо перейти на страницу Сканы.

Нажав на ID соответствующего сканирования, перейти на страницу с результатами.

Перейти на вкладку Собранные данные и выберите модуль Сетевая активность.

Нажмите на кнопку Скачать данные модуля, чтобы скачать zip-архив с результатами работы модуля.

Скачанный архив содержит три файла в различных форматах.

Импорт данных в Burp Suite

Для импорта данных в Burp Suite необходимо использовать специальный плагин burp-har-loader.

Скачайте плагин и запустите Burp Suite.

Перейдите на страницу Extender.

Нажав на кнопку Add, откройте окно добавления плагина в Burp Suite.

В поле Extension file (.jar) укажите файл плагина.

Нажмите на кнопку Next, чтобы перейти в следующее диалоговое окно.

Убедившись, что в следующем окне отображается необходимый плагин, нажмите на кнопку Close.

В результате успешного добавления плагина в строке меню Burp Suite появится новый пункт HAR Import Sitemap.

Нажав пункт меню HAR Import Sitemap, переходим на страницу плагина. Реализована возможность импорта данных в двух форматах: csv и har. Процесс экспорта данных из Стингрей подробно описан выше в разделе «Получение результатов работы модуля Сетевая активность».

Выполнив импорт в удобном формате, можно перейти на вкладку Target, где теперь импортированы в Sitemap все запросы, которые были собраны во время работы приложения. Таким образом, можно запустить автоматическое сканирование или проанализировать вручную.