BurpSuite學習第五節--Scanner
阿新 • • 發佈:2019-01-01
---恢復內容開始---
一.Scanner的介紹
Burp Scanner自動執行掃描網站內容和漏洞的任務。根據配置,掃描程式可以抓取應用程式以發現其內容和功能,並稽核應用程式以發現漏洞
詳細瞭解Burp Scanner的工作原理
Burp Scanner是一種用於執行網站自動掃描,發現內容和稽核漏洞的工具 執行掃描所涉及的工作包括 兩個關鍵階段:- 對內容進行爬網 - 這涉及在應用程式中導航,跟蹤連結,提交表單以及在必要時登入,以對應用程式的內容及其中的導航路徑進行編目
-
稽核漏洞 - 這涉及分析應用程式的流量和行為,以識別安全漏洞和其他問題。根據掃描配置,它可能涉及嚮應用程式傳送大量請求
Module1:Issue activity
問題活動選項包含了掃描程式在查詢新問題和更新現有問題時的活動的順序記錄。記錄內容包括:專案的索引號,已執行的操作(Action),問題型別(Issue type),問題的主機(Host),路徑(Path),插入點(Insertion point),嚴重性(Severity),置信度(Confidence),註釋(Comment) advisory:掃描報告說明 Moduel2:Scan queue 掃描佇列。顯示掃描佇列的狀態,問題和時間等 主要內容包括:- 專案的索引號
- 主機和URL
- 該專案的當前狀態,包括百分比
- 專案掃描問題的數量
- 在掃描專案的請求數量進行
- 網路錯誤的數目
- 插入點的數量
- 開始時間和結束時間
Module3:Live scanning
實時掃描可讓您決定哪些內容通過使用瀏覽器的目標應用,通過BurpProxy伺服器進行掃描。您可以實時主動掃描設定live active scanning(積極掃描)和live passive(被動掃描)兩種掃描模式
Module3:Issue Definitions 漏洞列表,列出Burp可以掃描到的漏洞詳情
Module4:Options
包含了Burp掃描選項進行攻擊的插入點,主動掃描引擎,主動掃描優化,掃描漏洞,靜態程式碼分析 選項1:Attack Insertion Points
選項2:Active Scanning Engine 控制用來主動掃描時發出HTTP請求的執行緒,時間間隔等
選項3:Active Scanning Optimization 主動掃描優化,根據實際情況選擇掃描方式
選項4:Scanning Issues 掃描漏洞
選項5:Static Code Analysis