zoukankan      html  css  js  c++  java
  • BurpSuite学习第五节--Scanner

    ---恢复内容开始---

    一.Scanner的介绍

    Burp Scanner自动执行扫描网站内容和漏洞的任务。根据配置,扫描程序可以抓取应用程序以发现其内容和功能,并审核应用程序以发现漏洞

     详细了解Burp Scanner的工作原理

    Burp Scanner是一种用于执行网站自动扫描,发现内容和审核漏洞的工具
    执行扫描所涉及的工作包括两个关键阶段
    • 对内容进行爬网 - 这涉及在应用程序中导航,跟踪链接,提交表单以及在必要时登录,以对应用程序的内容及其中的导航路径进行编目
    • 审核漏洞 - 这涉及分析应用程序的流量和行为,以识别安全漏洞和其他问题。根据扫描配置,它可能涉及向应用程序发送大量请求

    Module1:Issue activity

    问题活动选项包含了扫描程序在查找新问题和更新现有问题时的活动的顺序记录。记录内容包括:项目的索引号,已执行的操作(Action),问题类型(Issue type),问题的主机(Host),路径(Path),插入点(Insertion point),严重性(Severity),置信度(Confidence),注释(Comment)
    advisory:扫描报告说明
     
    Moduel2:Scan queue
    扫描队列。显示扫描队列的状态,问题和时间等
    主要内容包括:
    1. 项目的索引号
    2. 主机和URL
    3. 该项目的当前状态,包括百分比
    4. 项目扫描问题的数量
    5. 在扫描项目的请求数量进行
    6. 网络错误的数目
    7. 插入点的数量
    8. 开始时间和结束时间

     Module3:Live scanning

    实时扫描可让您决定哪些内容通过使用浏览器的目标应用,通过BurpProxy服务器进行扫描。您可以实时主动扫描设定live active scanning(积极扫描)和live passive(被动扫描)两种扫描模式

    Module3:Issue Definitions
    漏洞列表,列出Burp可以扫描到的漏洞详情

     Module4:Options

    包含了Burp扫描选项进行攻击的插入点,主动扫描引擎,主动扫描优化,扫描漏洞,静态代码分析
     
    选项1:Attack Insertion Points
    选项2:Active Scanning Engine
    控制用来主动扫描时发出HTTP请求的线程,时间间隔等

    选项3:Active Scanning Optimization
    主动扫描优化,根据实际情况选择扫描方式
    选项4:Scanning Issues
    扫描漏洞

     选项5:Static Code Analysis

  • 相关阅读:
    ffmpeg 编译IOS静态库
    冲刺总结——第一篇
    openssl基础知识以及部分命令详解
    电子公文传输系统
    第五组课程设计—小组总结
    学习经验总结
    QtCreator:没CDB二进制档可用为二进制格式在'x86windowsmsvc2008pe32bit'"
    printf格式化输出
    DELL T110 安装windows server 2003
    visualSVN+花生壳实现外网访问局域网内SVN
  • 原文地址:https://www.cnblogs.com/LQ6H/p/Burp-Scanner.html
Copyright © 2011-2022 走看看