扫描 Web 网站

优质
小牛编辑
135浏览
2023-12-01

Burp Scanner自动执行扫描网站内容和漏洞的任务。当配置完成之后,Scanner 程序可以抓取Web应用程序以发现其内容和功能,以及审核应用程序发现漏洞。

了解有关Burp Scanner如何工作的更多信息

启动扫描


扫描可以通过多种方式启动:

  • 扫描特定网址 - 输入一个或多个URL来执行扫描,并可审计已经抓取到的内容。你可以在Burp 仪表盘选项卡中单击新建扫描(New Scan)按钮。然后就会打开启动扫描面板,然后根据情况配置具体扫描信息
  • 扫描所选项目 - 您可以执行特定HTTP请求的仅审计扫描(不进行抓取)。你可以在Burp中的任意一个位置选择一个或多个HTTP请求,然后从上下文菜单中选择扫描(Scan)。然后就会打开启动扫描面板,然后根据情况配置具体扫描信息。
  • 实时扫描 - 您可以使用实时扫描来自动扫描由Burp的其他工具处理的请求,例如代理工具重放工具。您可以精确的去配置需要处理哪些请求,以及是否去扫描这些请求来识别或审计漏洞。你可以到Burp 仪表盘,然后单击新建实时任务(New live task)按钮。然后会打开实时扫描,然后根据情况配置具体扫描信息。

配置扫描

您可以并行启动多个扫描,每个扫描都可以单独进行配置以及确定扫描的执行方式。 配置有两个关键领域:

  • 抓取选项 这些选项控制了抓取的行为,例如最大抓取深度,限制抓取范围,抓取速度及覆盖范围的优化等。阅读更多信息
  • 审计选项 这些选项控制了扫描器的审计行为,例如插入点的处理及使用的检测方法。这些选项对于控制将执行何种类型的审计行为非常重要,它可以从轻量级被动分析到重量级主动侵入式扫描。 阅读更多信息

监控扫描活动


您可以通过各种方式监控扫描的进度和结果:

扫描报告


您可以以HTML格式来生成通过 Burp Scanner 找到的问题的报告。 您还可以将该报告导出为XML格式供其他工具使用。