扫描 Web 网站
优质
小牛编辑
135浏览
2023-12-01
Burp Scanner自动执行扫描网站内容和漏洞的任务。当配置完成之后,Scanner 程序可以抓取Web应用程序以发现其内容和功能,以及审核应用程序发现漏洞。
启动扫描
扫描可以通过多种方式启动:
- 扫描特定网址 - 输入一个或多个URL来执行扫描,并可审计已经抓取到的内容。你可以在Burp 仪表盘选项卡中单击
新建扫描(New Scan)
按钮。然后就会打开启动扫描面板,然后根据情况配置具体扫描信息 - 扫描所选项目 - 您可以执行特定HTTP请求的仅审计扫描(不进行抓取)。你可以在Burp中的任意一个位置选择一个或多个HTTP请求,然后从上下文菜单中选择
扫描(Scan)
。然后就会打开启动扫描面板,然后根据情况配置具体扫描信息。 - 实时扫描 - 您可以使用实时扫描来自动扫描由Burp的其他工具处理的请求,例如代理工具或重放工具。您可以精确的去配置需要处理哪些请求,以及是否去扫描这些请求来识别或审计漏洞。你可以到Burp 仪表盘,然后单击
新建实时任务(New live task)
按钮。然后会打开实时扫描,然后根据情况配置具体扫描信息。
配置扫描
您可以并行启动多个扫描,每个扫描都可以单独进行配置以及确定扫描的执行方式。 配置有两个关键领域:
- 抓取选项 这些选项控制了抓取的行为,例如最大抓取深度,限制抓取范围,抓取速度及覆盖范围的优化等。阅读更多信息
- 审计选项 这些选项控制了扫描器的审计行为,例如插入点的处理及使用的检测方法。这些选项对于控制将执行何种类型的审计行为非常重要,它可以从轻量级被动分析到重量级主动侵入式扫描。 阅读更多信息
监控扫描活动
您可以通过各种方式监控扫描的进度和结果:
- Burp 仪表盘显示了每个任务的进度,问题活动日志显示了所有扫描任务中报出的问题 。
- 您还可以打开单个扫描的任务详细信息来查看扫描的活动日志,以及适用于任务的审计项目的详细视图。
- 目标站点地图当中会显示某个域及其URL的所有内容和问题。
扫描报告
您可以以HTML格式
来生成通过 Burp Scanner 找到的问题的报告。 您还可以将该报告导出为XML格式
供其他工具使用。