随着公司体量的增长,系统的安全性逐步受到重视,Web应用作为公司的系统的一个分支,性能和安全性的测试已经提上日程。现打算引入一款WEB应用的安全性测试工具--BurpSuit。
该工具作为国外应用较为成熟的一款网络安全测试工具,在WEB漏洞扫描、回归扫描、可扩展性、持续集成和手动工具方面都有可靠的应用和较好的体验,对于公司目前的WEB端安全测试非常合适,现对Burp Suit中的主要模块Scanner简单介绍,目录如下:
启动扫描如何配置扫描监听扫描活动报告
1.网站扫描
Burp Scanner 将扫描网站内容和缺陷的过程自动化。根据配置信息,Scanner能爬取应用的内容,并检查这个应用,发现其中的漏洞。
1.1 启动扫描
可以通过以下几种方式启动扫描:
1.1.1 扫描指定的URLs 这类扫描将能够爬取指定的一个或多个URLs,然后根据配置项检查爬取的内容。用此方式扫描,可在Burp Dashboard中进行,点击“New Scan”按钮,打开一个“Scan Launcher”让你配置扫描的细节;
1.1.2 扫描选择的条目 这类扫描将只对指定的HTTP请求做检查,且不会爬取内容。用此方式扫描,可以在Burp Suite中的任意位置选择1项或多项HTTP请求,然后选择菜单中的“Scan”功能,这将打开“Scan Launcher”让你配置扫描的详细信息。
1.1.3 实时扫描 可以使用此工具自动扫描通过其他Burp工具发起的请求,如Proxy和Repeater工具。如果准确地配置通过的请求,你将能够判定它们是否应当被扫描并检查请求中的漏洞。用此方式扫描,在Burp Dashboard中点击“New live task”按钮。这将打开实时扫描launcher并允许配置扫描的详细信息。
1.2 如何配置扫描
你可以平行配置多个扫描,然后每个扫描都有它独立的配置来决定它将如何执行扫描。这儿有2个配置的关键区域:
1.2.1 爬虫选项 该选项控制的行为如:最大链接数量(Maximum link depth),爬取器如何在相当的覆盖率下优化爬取速度,以及爬取的限制等;
1.2.2 检查选项 该选项控制的行为如:管理注入点,以及侦测方法如何应用。这些配置对于执行哪种类型的检查行为至关重要,从一个轻量的被动的分析,渐进为重量级的入侵性强的分析;
1.3 监听扫描活动
你可以监听多种扫描结果的执行过程:
1.3.1 Burp Dashboard 展示了每个任务的指标,而issue activity log展示了扫描任务中报告的问题。
1.3.2 你可以为一个独立的扫描打开task details window,以查阅该扫描下的issue activity log,并展示相关任务的audit items细节;
1.3.3 Target site map 展示了所有已知问题的细节,由域名和URL串联起来;
1.4 报告
可以通过Burp扫描器生成HTML格式的问题事项报告,你也可以导出XML格式的问题事项,用于导入到其他工具中。
下一阶段计划对该工具的其他组件、以及常见的WEB安全性问题做介绍及对应的解决策略分析,敬请关注。
如有对软件安全测试领域感兴趣的话题,均可联系我,会及时回复,如有不足之处也欢迎指正,希望能认识志同道合的朋友,感恩。
欢迎感兴趣的朋友关注、转发,您的支持是本人更新的最大动力。