本文详细介绍了BurpSuite的仪表盘(Dashboard)功能,包括主动扫描和被动扫描的配置选项。主动扫描涉及扫描配置、爬行策略、错误处理及审计优化等,而被动扫描则是通过实时任务进行。此外,文章还提到了Event log日志信息、Issue activity问题动态和HTTP的基础知识,帮助读者深入理解BurpSuite的使用和网络安全性测试。
BurpSuite – 仪表盘(Dashboard)
自带两个模块,相当于以前版本的spider 和scanner 模块
Dashboard
主要分为三块:
tasks:任务
event log:事件日志;这个主要是burpsuite出现问题或异常状况查看日志用,平时一般用不到。
issue activity:动态发现的问题。这个有个坑,比如点了high后,再有新的high级别的漏洞,不会实时刷新,要重新选下才会出来。
tasks中自带了两个模块,相当于以前版本中的spider和scanner模块的结合体,支持自定义创建。
主动扫描
确定一个URL,然后由扫描器中的爬虫模块爬取所有链接,对GET、POST等请求进行参数变形和污染,进行重放测试,然后依据返回信息中的状态码、数据大小、数据内容关键字等去判断该请求是否含有相应的漏洞
被动扫描:在进行手动测试的过程中,代理将流量转发给漏洞扫描器,然后再进行漏洞检测
主动式
在Dashboard仪表盘块下,点击new scan,进行扫描配置
New scan主动扫描
Scan details,设置扫描模式,爬虫或者爬虫且审计,设置扫描范围,可以把url添加到URLs to Scan
new scan (主动扫描)
scan details 选项有两个,一个是爬虫+审计,第二个是只有审计 然后填上URL即可
scan configuration 可以设置自己的UA头,或者按照默认配置即可
Application login options 应用登录选项,只有爬虫检测到登录表单会自动提交,可以自定义设置账户密码,审计用不到
Resource pool options 并发数配置,默认为10
Scan Configuration
常用的设置也就configuration name和user agent。
user agent在miscellaneous下拉框中设置
user agent可以设置成浏览器的请求头,在浏览器控制台network选项的请求中看见。
最后,编辑好设置后,save to library保存到设置库中。以后就方便直接使用了
Crawl爬行配置文件之Scanconfiguration
| Crwal Optimization | 爬行的优化 | 最大链接深度更快还是更完整 |
|---|---|---|
- Maximum link depth:最大的爬行深度
- crawl strategy爬行策略
- Fastest最快的Faster很快的Normal普通的More complete爬得更加完整More complete爬得最完整的
Crawl爬行配置文件之Crawl Limits
| Crwal Limits | 爬行最大限制 | 最大时间 最多链接 最大请求数 |
|---|---|---|
Crawl Limits爬行的限制
Maximum crawl time:设置爬行最长的时间默认150分钟
或者爬行了
Maximum unique locations discovered:爬行长达1500的地址结束 默认1500
Maximum request count:设置发送多少个HTTP请求后结束 默认为空
Crawl爬行配置文件之Login Functions
| Login Function | 登陆注册 | 登陆操作:自动注册 用无效的用户名主动触发登陆失败 |
|---|---|---|
- Login Functions如果有登陆页面是否进行登陆
- Attempt to self-register a user 是否自行注册一个账户
- Trigger login failusers(using invalid username)是否触发
最低0.47元/天 解锁文章
扫一扫
853
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
