Autowasp 使用教程

1. 项目介绍

Autowasp 是一个开源的 Burp Suite 扩展，它将 OWASP Web 安全测试指南（WSTG）与 Burp Scanner 集成，为现代渗透测试人员提供一个简化的 Web 应用程序安全测试流程。这个工具会指导新的渗透测试人员了解 Web 应用程序安全的最佳实践，并自动化 OWASP WSTG 检查。

2. 项目快速启动

以下是快速启动 Autowasp 的步骤：

环境准备

确保您已经安装了 Burp Suite Professional。

下载 Autowasp

克隆 Autowasp 仓库到您的计算机：

git clone https://github.com/PortSwigger/autowasp.git

构建项目

使用 IntelliJ IDEA：

1. 克隆仓库后，打开 IntelliJ IDEA，选择导入项目或打开项目。
2. 打开项目结构 (File > Project Structure... 或 Ctrl+Alt+Shift+S)。
3. 在主类选项中，选择 BurpExtender (burp)。
4. 在项目设置中，选择模块，添加 /src/main/resources 作为项目资源。
5. 点击应用并关闭项目设置。
6. 点击构建项目 (Build > Build Project)。

构建完成后，autowasp.jar 文件会生成在 /Autowasp/out/artifacts/autowasp_jar/autowasp.jar。

使用命令行：

1. 克隆仓库后，运行以下命令：

cd Autowasp
mvn clean compile assembly:single

2. 构建完成后，autowasp.jar 文件会生成在 /Autowasp/target/autowasp-1.0-SNAPSHOT-jar-with-dependencies.jar。

安装扩展

1. 下载 release 版本的 Autowasp JAR 文件。
2. 打开 Burp Suite。
3. 点击 Extender 标签页。
4. 在 Extensions 标签页下点击 Add。
5. 在 Extension Details 中点击 Select file 并选择 Autowasp JAR 文件，然后点击 Next。
6. 如果没有输出或错误，您会在顶部标签行看到一个名为 Autowasp 的新标签页。

3. 应用案例和最佳实践

以下是一个使用 Autowasp 的通用测试工作流程：

1. 在 Autowasp 中显示 OWASP 清单以供参考。
2. 将目标 URL 添加到 Scope。Scope 功能将从 Burp Scanner 提取相关结果并监听不安全的 Web 请求和响应。
3. 将扫描问题映射到清单中的具体测试案例。
4. 手动探索网站的页面，然后点击 Enable Burp Scanner Logging 以在 Logger 标签页下显示扫描问题。
5. 将发现的问题映射到清单。
6. 插入与日志相关的安全观察和证据。
7. 生成包含清单、日志、证据和评论的报告。

4. 典型生态项目

Autowasp 作为 Burp Suite 的扩展，是 Web 应用程序安全测试生态的一部分。其他类似的开源项目包括 OWASP ZAP (Zed Attack Proxy)、w3af 等，它们都提供了自动化 Web 应用程序安全测试的工具和框架。通过结合这些工具，渗透测试人员可以更全面地进行安全评估。