实验目的及要求
知识目标:
掌握web扫描的概念,意义及应用分析
技能目标:
1、掌握Burp Suite扫描工具的基本功能及Proxy代理。
2、使用Burp Suite的Target功能搜索目标漏洞
3、掌握通Burp Suite 的Spider功能配置与应用。
4、能够使用Burp Suite Scanner对指定的Web应用进行漏洞测试并分析测试结果
5、掌握Burp Suite Intruder的各种功能配置
6、使用Burp Suite Intruder对网站漏洞进行爆破测试
实验环境
(1)VMware中创建Windows Server 2008与Kali Linux虚拟机,并配置这2台虚拟机构成一局域网,设置Windows Server 2008虚拟机ip地址为192.168.10.132,Kali Linux虚拟机的ip地址为192.168.10.131.
(2)Windows Server 2008虚拟机中配置IIS,并创建好测试网站dvwa。
实验内容
Burp Suite基础Proxy功能
Windows Server 2008虚拟机中配置IIS,并创建好测试网站dvwa.
搭建测试网站dvwa——将DVWA-master.zip的压缩包,放在phpStudy安装目录下的WWW中解压
使用Burp Suite的target标签定义扫描目标范围
配置Burp Suite Spider标签对目标主机进行渗透测试
(1)更换JDK版本
(2)重新安装专业版的Burp Suite
Spider应用
使用Burp Suite scanner各种配置选项,对Web网站漏洞进行扫描并给出结果报告
单击“next”按钮,打开对话框,继续对扫描项进行配置,将不需要扫描的网址一出,提高扫描效率
打开Burp Scanner选项卡,在扫描队列子选项卡中,查看当前扫描的进度
配置主动扫描与被动扫描的
在Burp Target站点地图下选择某个子目录进行扫描,则会弹出更优化的扫描选项,可以对选项进行设置,指定哪些类型的文件不在扫描范围之内
在Burp Target站点图中,选中需要添加的网址,鼠标右键,在弹出菜单中选择“add to scope”,则将该网址添加到作用域中,然后自动进行扫描
进入Burp Scanner的“Live scanning”子选项卡,在Live Active Scanning控制块中,选择“Use suite scope[defined in Target tab]”,Burp Scanner将自动扫描经过Burp Proxy的交互信息
使用Burp Suite的intruder功能对网站漏洞进行爆破测试
部署DVWA靶场环境,登录账号密码后,在左侧DVWA Security将安全级别设置为
low
出现的问题
解决方案