专业的社区

目标范围

• 最近更新时间：2022年4月6日

• 阅读时间：2分钟

目标范围配置使您可以在套件范围内告诉BURP，这是托管和URL构成当前工作的目标。您可以将目标范围视为您目前感兴趣并愿意攻击的项目。

这种配置会影响整个套件中工具的行为。例如：

• 您可以在目标站点地图和代理历史仅显示scope项目。
• 你可以告诉代理截距仅范围内请求和响应。
• 专业的和bepaly下载 ，你可以表演自动实时扫描范围内的项目。
• 您可以配置入侵者和中继器遵循重定向到任何范围内URL。

通过告诉Burp您目前的目标是什么，您可以确保Burp以适当的方式执行许多此类行动，只针对您感兴趣并愿意攻击的项目。在所有情况下，您都可以在单个工具级别上微调目标范围和相关的行为，从而使您对Burp所做的一切，如果需要。但是，整个套件范围的定义提供了一种快速简便的方法来告诉Burp什么是公平的游戏和什么是限制，并且在认真开始工作之前几乎总是值得进行配置。

范围定义使用两个URL匹配规则的列表 - “ inclage”列表和“排除”列表。当Burp评估URL以确定其是否在目标范围内时，如果URL匹配至少一个“ Include”规则并且不匹配任何“排除”规则，则将被视为范围。这使您可以将特定的主机和目录定义为通常在范围内，但仍将特定的子目录或文件（例如注销或管理功能）排除在外。

您可以使用该列表添加或编辑“ Include”和“ Dork”列表URL匹配规则编辑器。但是，在大多数情况下，迄今为止定义目标范围的最简单方法是通过站点地图。当您通过BURP代理绘制目标应用程序时，该应用程序的内容将显示在网站图中。然后，您可以选择一个或多个主机和文件夹，并使用上下文菜单包括或从范围中排除这些。此过程非常简单，在大多数情况下，您将允许您快速定义测试所需的所有规则。