安全扫描工具_【BurpSuit】WEB应用安全测试工具的引入

最新推荐文章于 2024-06-01 17:14:48 发布
最新推荐文章于 2024-06-01 17:14:48 发布
阅读量229 收藏
点赞数
文章标签: 安全扫描工具

bdc4397b48a67e731b1d563eca57e094.png

       随着公司体量的增长,系统的安全性逐步受到重视,Web应用作为公司的系统的一个分支,性能和安全性的测试已经提上日程。现打算引入一款WEB应用的安全性测试工具--BurpSuit。

       该工具作为国外应用较为成熟的一款网络安全测试工具,在WEB漏洞扫描、回归扫描、可扩展性、持续集成和手动工具方面都有可靠的应用和较好的体验,对于公司目前的WEB端安全测试非常合适,现对Burp Suit中的主要模块Scanner简单介绍,目录如下:

启动扫描如何配置扫描监听扫描活动报告

1.网站扫描

Burp Scanner 将扫描网站内容和缺陷的过程自动化。根据配置信息,Scanner能爬取应用的内容,并检查这个应用,发现其中的漏洞。

  1.1 启动扫描

可以通过以下几种方式启动扫描:

    1.1.1 扫描指定的URLs    这类扫描将能够爬取指定的一个或多个URLs,然后根据配置项检查爬取的内容。用此方式扫描,可在Burp Dashboard中进行,点击“New Scan”按钮,打开一个“Scan Launcher”让你配置扫描的细节;

130248960d5fe70cb5b8a44afa00c3dd.png

    1.1.2 扫描选择的条目    这类扫描将只对指定的HTTP请求做检查,且不会爬取内容。用此方式扫描,可以在Burp Suite中的任意位置选择1项或多项HTTP请求,然后选择菜单中的“Scan”功能,这将打开“Scan Launcher”让你配置扫描的详细信息。

c2ec7c3823183dc22e758c907a65a34d.png

    1.1.3 实时扫描   可以使用此工具自动扫描通过其他Burp工具发起的请求,如Proxy和Repeater工具。如果准确地配置通过的请求,你将能够判定它们是否应当被扫描并检查请求中的漏洞。用此方式扫描,在Burp Dashboard中点击“New live task”按钮。这将打开实时扫描launcher并允许配置扫描的详细信息。

1cdb081a618be7c644c2b600aaae73ae.png

  1.2 如何配置扫描

你可以平行配置多个扫描,然后每个扫描都有它独立的配置来决定它将如何执行扫描。这儿有2个配置的关键区域:

5ea6fb690544d7f52fedb9d65644e159.png

    1.2.1 爬虫选项  该选项控制的行为如:最大链接数量(Maximum link depth),爬取器如何在相当的覆盖率下优化爬取速度,以及爬取的限制等;

    1.2.2 检查选项  该选项控制的行为如:管理注入点,以及侦测方法如何应用。这些配置对于执行哪种类型的检查行为至关重要,从一个轻量的被动的分析,渐进为重量级的入侵性强的分析;

  1.3 监听扫描活动

你可以监听多种扫描结果的执行过程:

ff83cedf8721f982a04ad6429428d5a4.png

    1.3.1 Burp Dashboard 展示了每个任务的指标,而issue activity log展示了扫描任务中报告的问题。

    1.3.2 你可以为一个独立的扫描打开task details window,以查阅该扫描下的issue activity log,并展示相关任务的audit items细节;

    1.3.3 Target site map 展示了所有已知问题的细节,由域名和URL串联起来;

  1.4 报告

     可以通过Burp扫描器生成HTML格式的问题事项报告,你也可以导出XML格式的问题事项,用于导入到其他工具中。

3a7b17c06f1f074c5cbefe97a9732178.png

下一阶段计划对该工具的其他组件、以及常见的WEB安全性问题做介绍及对应的解决策略分析,敬请关注。

如有对软件安全测试领域感兴趣的话题,均可联系我,会及时回复,如有不足之处也欢迎指正,希望能认识志同道合的朋友,感恩。

欢迎感兴趣的朋友关注、转发,您的支持是本人更新的最大动力。

52560a7a07936945e7eccb26ae7cd4d2.png

weixin_39864373
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
19-1.2 burpsuite模块介绍之dashboard(仪表板)
weixin_43263566的博客
12-31 830
"来自代理(所有流量)的被动抓取"(live passive crawl from proxy (all traffic)):该任务模板结合了以前版本中的Spider和Scanner模块,可以实现被动抓取功能。动态问题发现(Issue activity):在这个模块中,你可以查看和处理动态发现的问题。综上所述,Dashboard主要分为任务、事件日志和动态问题发现三个模块,帮助你管理和监控任务的执行过程,并及时发现和解决潜在的安全问题。任务(Tasks):在这个模块中,你可以创建和管理不同类型的任务。
安全测试工具Burpsuit和OWASP ZAP使用入门指南
kfashfasf的博客
12-04 165
首先我们通过【代理】-【选项】设置代理监听,接着我们在浏览器中配置手动设置(注意要把http和https都配置代理),这样我们就可以在burpsuit报文管理。集束炸弹(笛卡尔积,两个字典,两个参数):将每个字典逐一交叉匹配,例如A字典的所有位与B字典的所有位都匹配。音叉(两个字典,两个参数):将每个字典逐一对称匹配,例如A字典的1号位与B字典的1号位匹配,绝不相交匹配。在【测试器】-【位置】,选中你要参数化的地方(红色框框部分)点击【添加$】这样就实现参数化。目标网址【右键】-【攻击】-【Fuzz】
Burp Suite的使用(常用模块)
Welcome To Myon'Blog !
04-04 2157
Burp Suite的使用及其常用模块,抓包、改包、放包,浏览器代理设置
安全测试扫描利器-Burpsuite
最新发布
xiaojieceo的博客
06-01 996
前阵子有学员在尝试使用appscan对公司app做被动式扫描时出现一些问题,发现无法即使导入了appscan的证书也无法抓到https的包。推荐他使用burpsuite后,成功抓到了https的包并且也完成了他的扫描工作。
第十三章——Burpsuite二(Dashboard、Intruder)
weixin_43876557的博客
09-16 3127
Burpsuite spider
[Web安全入门]BURP基本使用详解
m0_59598029的博客
03-18 2438
请求方法 请求资源(目录结构/目录文件/传参的参数[GET]) HTTP版本host: 主机名User-Agent:客户端基本环境信息Content-Type:传参的类型Content-Length: 请求包长度Referer: 上一步来源。X-Forwarded-For:当前身份ipCookie:用户身份标识。
(2-2)Burp suite 新版入门介绍----Dashboard 仪表盘模块
m0_74037729的博客
04-22 991
下面那段英文翻译:选择配置以控制扫描的输出方式。您可以选择多个配置,这些配置将依次应用于确定用于扫描的最终配置。如果未选择任何配置,则 burp 扫描仪的默认设置将被使用。URLs to Scan:定义要扫描的 URL,Burp 将开始从这些 URL 开始爬行,将会爬出此 URL 下的所有文件和文件夹。Detailed scope configuration:细节的范围配置。protocol setting:协议设置。作用:设置爬虫和审计的匹配规则,默认的就好了。Scan Type:扫描类型。
burp suite 2023版 模块详解《一》
diaobusi的博客
08-03 1057
映射树映射树是Burp Suite Site map窗口中的一个面板,它显示了目标应用程序的层次结构和相关请求的树形结构。在映射树中,我们可以看到目标应用程序中的不同目录、子域、URL路径以及关联的请求和响应。这些目录和URL按照层级结构组织,我们可以展开和折叠不同的层级来查看和管理其中的请求。对于每个请求,映射树显示了请求的URL、请求方法(GET、POST等)、请求的状态码(例如200 OK)、响应的状态码等信息。我们还可以通过单击请求,查看和分析请求和响应的详细内容。
Web安全漏洞扫描工具-AWVS14
07-05
AWVS14,Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞。WVS可以检查SQL注入漏洞,也可以检查跨站脚本攻击漏洞,可以扫描任何...
破壳web扫描工具_内部版.rar
02-17
【破壳Web扫描工具_内部版.rar】是一个用于网络安全检测的工具,主要功能是对远程服务器进行端口扫描,以探测其开放的服务和可能存在的安全漏洞。这个内部版本可能包含了一些高级或者非公开的功能,因此对使用者的...
web安全扫描工具AWVS(可以使用 全部功能)
03-31
web安全扫描工具AWVS(可以使用 全部功能)
一款基于Python-Django的多功能Web安全渗透测试工具源码.zip
05-08
这款基于Python-Django的Web安全渗透测试工具源码是一个强大的多用途平台,旨在帮助安全专家和开发者检测并解决Web应用程序的安全问题。它整合了多种功能,包括漏洞扫描、端口扫描、指纹识别、目录扫描、旁站扫描...
web安全测试工具
08-18
工具包包含 注入检测工具、SQL数据库弱口令扫描、数据库浏览器、端口扫描工具等 常用测试工具均已打包
【常用工具BurpSuite扫描
热门推荐
Fighting_hawk的博客
01-19 2万+
1. 了解软件的抓包功能和扫描功能。 2. 了解主动扫描和被动扫描的差异。 3. 掌握请求报文和响应报文内容。
BurpSuite学习-扫描
weixin_49349476的博客
04-24 2507
Burpsuite中,扫描分为主动扫描和被动扫描。主动扫描主要针对客户端的漏洞和服务端的漏洞。被动扫描针对提交的密码为未加密的明文。不安全的cookie的属性、例如缺少HttpOnly和安全标志、cookie的范围缺失等
使用Burpsuite快速扫描授权漏洞
2301_77147728的博客
03-27 892
Burpsuite 就不过多介绍了,今天来讲讲如何使用 Burpsuite 来快速扫描越权漏洞,提升工作效率的必备插件。
Burp Suite应用分享之Web漏洞扫描
wuli1024的博客
11-30 1306
随着Web2.0时代的来临,后又推向Web3.0,Web安全开始备受瞩目,对于白帽来说,测试时使用的工具越方便、全面、迅速越好。下面推荐一个工具Burp Suite,其功能包括HTTP包的截获及修改,扫描,网站爬行,爆破,注入检测等功能。下面就讲解一下Burp Suite的用法(大牛绕过)Burp suite 是利用本地代理结果所传送的数据包,运行之前需要安装JAVA环境,当然网上转来转去的天花乱坠的教程很多,可是有用的地方很少,而有些人还在网上去卖这些工具的使用教程,实在无法忍受。
BurpSuite—-Scanner模块(漏洞扫描)
Dasdwer的博客
05-22 897
使用的大多数的 web 扫描器都是单独运行的:你提供了一个开始 URL,单击‖go‖,然后注视着进度条的更新直到扫描结束,最后产生一个报告。使用的大多数的 web 扫描器都是单独运行的:你提供了一个开始 URL,单击‖go‖,然后注视着进度条的更新直到扫描结束,最后产生一个报告。包含Burp扫描选项进行攻击的插入点,主动扫描引擎,主动扫描优化,主动扫描区和被动扫描区域。包含Burp扫描选项进行攻击的插入点,主动扫描引擎,主动扫描优化,主动扫描区和被动扫描区域。当浏览时自动发送漏洞利用代码。
6.Burp Suite 入门篇 —— Burp Scanner 漏洞扫描
YouTheFreedom的博客
04-12 2776
Burp Scanner 既可以是独立的全自动扫描器,也可以在手动测试中当作强大的辅助手段,而且随着技术改进,Burp Scanner 能检测到的漏洞数量也在不断增加。Burp Scanner 功能只在 burpsuite 专业版和企业版中里有,本篇教程讲的是专业版的 Burp Scanner 用法。
Web安全测试详解:关键环节与工具应用
本文档是关于"WEB安全测试规范"的专业指南,由安全解决方案部电信网络与业务安全实验室和软件公司安全TMG、软件公司测试业务管理部门共同修订。该规范基于《Web应用安全开发规范》,特别针对Web应用安全测试流程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值