BurpSuite详细基本⽤法(⼆):Spider、Scanner、Intruder模块
Burp Suite可以说是Web安全⼯具中的瑞⼠军⼑,打算写⼏篇Blog以⼀个⼩⽩的⾓度去学习Burp Suite(简称BP),会详细地说⼀下的⽤法,说明⼀下每⼀个部分是什么功能,主要通过图的备注来说明各个按钮是什么功能。有什么错误也希望⾛过路过的⼤佬们指出,由于是说基本⽤法所以⽐较基础,各种⼤佬⼤神可以绕过啦哈哈。
BP由PortSwigger公司开发,由Burp Free和Burp Professional两个版本。
3 Spider
3.1 Spider Options (爬⽹设置)
被动爬⽹:(被动爬⽹获得的链接是⼿动爬⽹的时候返回页⾯的信息中分析发现超链接)
对于爬⽹的时候遇到HTML表单如何操作:
需要表单⾝份认证时如何操作(默认是进⾏提⽰):
需要表单⾝份认证时如何操作(默认是进⾏提⽰):
请求头,在爬⽹的时候⾃动添加到请求头处:
3.2 Spider使⽤
通常对⼀个站点先进⾏⼿动爬⽹在进⾏被动爬⽹ 在Target界⾯对⽬标右键,选择Spider进⾏爬⽹
4 Scanner
4.1 Scanner设置
主动扫描的时候设置(类似Spider Engine)(也⽀持Passive Scanning:指的是⼿动爬⽹的时候对返回信息进⾏判断是否存在漏洞
主动扫描选项,扫描速度有:Fast(快) Normal(正常)、Thorough(全⾯)三种,扫描准确性有:Minimize(最⼩漏判)、Normal(正常)、Minimize fal positives(最⼩误判):
被动扫描是时时刻刻进⾏的,在做Spider的时候就进⾏了
4.2 Scanner使⽤
在Target右键可以选择对站点主动扫描还是被动扫描
Scanner主页⾯,不希望继续扫描的url可以在Scan queue对⽬标右键Cancel取消。
