BurpSuite – 仪表盘(Dashboard)
自带两个模块,相当于以前版本的spider 和scanner 模块
Dashboard
主要分为三块:
tasks:任务
event log:事件日志;这个主要是burpsuite出现问题或异常状况查看日志用,平时一般用不到。
issue activity:动态发现的问题。这个有个坑,比如点了high后,再有新的high级别的漏洞,不会实时刷新,要重新选下才会出来。
tasks中自带了两个模块,相当于以前版本中的spider和scanner模块的结合体,支持自定义创建。
主动扫描
确定一个URL,然后由扫描器中的爬虫模块爬取所有链接,对GET、POST等请求进行参数变形和污染,进行重放测试,然后依据返回信息中的状态码、数据大小、数据内容关键字等去判断该请求是否含有相应的漏洞
被动扫描:在进行手动测试的过程中,代理将流量转发给漏洞扫描器,然后再进行漏洞检测
主动式
在Dashboard仪表盘块下,点击new scan,进行扫描配置
New scan主动扫描
Scan details,设置扫描模式,爬虫或者爬虫且审计,设置扫描范围,可以把url添加到URLs to Scan
new scan (主动扫描)
scan details 选项有两个,一个是爬虫+审计,第二个是只有审计 然后填上URL即可
scan configuration 可以设置自己的UA头,或者按照默认配置即可
Application login options 应用登录选项,只有爬虫检测到登录表单会自动提交,可以自定义设置账户密码,审计用不到
Resource pool options 并发数配置,默认为10
Scan Configuration
常用的设置也就configuration name和user agent。
user agent在miscellaneous下拉框中设置
user agent可以设置成浏览器的请求头,在浏览器控制台network选项的请求中看见。
最后,编辑好设置后,save to library保存到设置库中。以后就方便直接使用了
Crawl爬行配置文件之Scanconfiguration
Crwal Optimization | 爬行的优化 | 最大链接深度更快还是更完整 |
---|---|---|
- Maximum link depth:最大的爬行深度
- crawl strategy爬行策略
- Fastest最快的Faster很快的Normal普通的More complete爬得更加完整More complete爬得最完整的
Crawl爬行配置文件之Crawl Limits
Crwal Limits | 爬行最大限制 | 最大时间 最多链接 最大请求数 |
---|---|---|
Crawl Limits爬行的限制
Maximum crawl time:设置爬行最长的时间默认150分钟
或者爬行了
Maximum unique locations discovered:爬行长达1500的地址结束 默认1500
Maximum request count:设置发送多少个HTTP请求后结束 默认为空
Crawl爬行配置文件之Login Functions
Login Function | 登陆注册 | 登陆操作:自动注册 用无效的用户名主动触发登陆失败 |
---|---|---|
- Login Functions如果有登陆页面是否进行登陆
- Attempt to self-register a user 是否自行注册一个账户
- Trigger login failusers(using invalid username)是否触发