渗透测试工具BurpSuite做网站的安全测试(基础版)
版权声明:本文为博主原创文章,未经博主允许不得转载。
学习网址: https://t0data.gitbooks.io/burpsuite/content/chapter4.html
用命令打开burpsuite工具:jar /your_burpsuite_path/burpSuite.jar
<<BurpSuite_pro_v1.6.27.zip>>
BurpSuite 如何扫描web漏洞: http://www.myhack58.com/Article/html/3/8/2012/36054.htm
运行之前需要安装JAVA环境。
设置代理:8080端口可以随意设置,只要不影响其他端口的通信就行
设置本地浏览器通过此代理访问网络:地址及端口号跟代理的一致。
访问需要扫描的web地址:
所有通过该地址的数据包都已经被截获了,而且在截获的过程中爬行了相关域名及路径,可以再截获数据包的时候进行改包和发送,forward或者drop,这个就先不说了,此次重点是扫描,点击scanner可以看到下面有四个选项,结果,扫描队列,存活的扫描线程和选项。
option去筛选扫描的范围/静态代码分析/扫描的速度和频率等
Issue definitions描述扫描中发现的各种漏洞-安全级别
Scan queue描述了扫描的地址和扫描的进度/发现的issue/发现的error/切入点等
Live scanning可以设置自主扫描还是被动扫描,一般想一个个扫描速度快,也可以自定义扫描的范围
回到target,在截获的URL中选择你想扫描的(也可以CTRL+A)全选,右键加入到scope里
Add to scope后,对该url进行网站进行爬虫,主动扫描被动扫描等
查看扫描的进程(主动扫描的进程)
扫描完的结果,点击结果栏,就能看到具体的详细的信息,可以将该信息导出来。
博主:海宁