研究 学院 beplay2018官网
bepaly下载网址 bepaly下载官网 关于 博客 职业 合法的 bepaly下載 bepaly下载苹果

专业的

扫描发射器

  • 最近更新时间:2022年4月6日

  • 阅读时间:6分钟

您可以通过新扫描打bur仪表板或扫描在整个Burp中出现的上下文菜单上的选项。使用这些方法之一将显示扫描启动器,该启动器使您可以配置扫描的各种细节。

扫描细节

扫描启动器的“扫描详细信息”部分使您可以选择扫描类型以及将要扫描的细节。

扫描类型

可以选择以下扫描类型:

  • 爬网和审计- 这将从一个或多个启动URL中进行爬网,然后审核发现的内容是否有漏洞。
  • 爬行- 这将从一个或多个启动URL中进行爬网。
  • 审核选定的项目- 仅当启动器在BURP中选择一个或多个请求/响应并选择该选项时,此选项才可用扫描上下文菜单上的选项。

根据所选的扫描类型,扫描启动器将显示扫描范围或要扫描的单个项目的选项。

网址扫描

此部分显示爬网和审计爬行扫描类型。您可以配置一个或多个从中启动爬网的种子URL。它将遵循这些URL的任何链接到应用程序。

默认情况下,爬网的范围将仅限于配置的URL,截断到最终目录(如果有)。例如,如果您指定了一个种子URLhttps://example.org/myapp/welcome.php,爬网将在此URL上开始,并将在路径中爬网https://example.org/myapp/

笔记

Burp根据最终斜线标识最终目录(/)在URL中。例如,如果您输入https://example.org/myapp/myfolder,路径中的所有内容https://example.org/myapp/将被视为范围内。将范围限制为myfolder目录,您需要输入https://example.org/myapp/myfolder/

您可以覆盖默认行为,并通过打开详细的范围配置切换。这使您可以使用URL前缀或高级匹配规则来定义爬网的范围,如Burp目标范围。请注意,您仍然需要指定扫描的URL,因为这些是爬网的起点,并且要扫描的URL必须落在定义的范围内。

碎片处理

对于使用其嵌入式浏览器的扫描,Burp接受带有片段(#)的种子URL。但是,传统爬行引擎不支持这一点。如果浏览器驱动扫描在扫描配置中被禁用,您不能在任何种子URL中包含片段。如果这样做,当您尝试启动扫描时,将出现错误消息,以通知您需要启用嵌入式浏览器。为此,请转到扫描配置的其他爬网设置,然后使用下拉菜单启用使用嵌入式浏览器进行爬网和审核选项。

协议设置

指定每个URL的协议是可选的。您通过选择以下选项之一来控制哪些协议用于集中扫描URL:

  • 使用HTTP和HTTPS扫描 - 选择此选项时,无论您是否在URL列表中明确指定协议,都将使用HTTP和HTTPS同时使用HTTP和HTTPS扫描所有URL。
  • 使用我的指定协议进行扫描 - 选择此选项时,bepaly下载 将使用您明确指定的协议扫描URL。例如,如果您仅包含URLhttp://example.org,URLhttps://example.org不会扫描。任何未指定协议的URL仍将使用HTTP和HTTPS扫描。

请注意,即使您选择同时使用HTTP和HTTPS扫描URL,如果BURP识别内容相同,它也只会爬网和审核位置一次。

扫描的项目

此部分显示审核选定的项目扫描类型。列出了所选项目的URL。请注意,如果有多个带有不同参数的URL请求多个请求,则相同的URL将不止一次出现。

如果您进行了大量的物品进行扫描,则通常可以合并所选项目以提高扫描效率。点击合并项目显示一个向导,使您可以选择是否删除具有各种功能的项目:

  • 选择中的重复项目(具有匹配URL和参数名称的项目)
  • 偏僻的项目(基于当前的套件范围)
  • 没有参数的项目
  • 具有特定文件扩展名的项目

对于每个项目,Burp显示受影响项目的数量。如果任何选项都不会导致被删除的任何项目,则此选项将不可用。

然后,整合向导将显示将要扫描的项目的完整列表。您可以双击列表中的任何项目以查看完整的请求和响应。您可以手动删除您不想扫描的任何其他项目。

扫描配置

扫描配置扫描启动器的部分使您可以选择配置来控制扫描的执行方式。

您可以选择多种配置,这些配置将依次应用以确定用于扫描的最终配置。这使您可以首先应用一般配置(例如,您首选的常规扫描设置),然后是更具体的配置(例如,一些对此特定应用程序有用的特定选项)。如果未选择配置,则将使用BURP扫描仪的默认设置。

您可以即时创建新配置,或从您的图书馆,或从配置文件中导入。

应用程序登录选项

笔记

使用“审核选定项目”扫描类型时,本节不可用,因为没有执行爬网。

应用程序登录扫描启动器的部分可让您提供有效的凭据集,当Burp扫描仪遇到任何登录表格时应提交。这使其能够发现和审核只有身份验证的用户才能访问的内容。

您还可以将应用程序登录保存到您的配置库。这使您可以重复使用相同的凭据集来进行将来的扫描。

以下选项可用于提供应用程序登录。请注意,您每次扫描只能使用这些选项之一;如果输入基本登录凭据集,然后选择使用记录的登录取而代之的是,您输入的登录凭据将被忽略。

使用登录凭据

对于基本的单步登录功能,您只需添加一个列表用户名密码双打扫描仪应使用的对。默认情况下,爬虫还将尝试自我注册帐户和使用这些凭据,除了您提供的任何凭据外。

这对于只有2个输入字段的经典登录表单很好。但是,如果该表格包含其他字段和输入,则可能会导致阻止爬网登录的问题。

通过选择此选项,例如,ver子也将无法处理涉及单个登录的更复杂的登录过程。在这种情况下,我们建议导入记录的登录顺序,以确保扫描的最大覆盖范围。

使用记录的登录序列

如果目标网站使用更复杂的登录beplay体育能用吗过程,则可能需要帮助Burp扫描仪了解如何成功登录所需的操作。您可以通过导入记录的登录顺序来执行此操作。

阅读更多

记录的登录

资源池选项

资源池扫描启动器的部分允许您指定将运行扫描的资源池。资源池用于管理多个任务中系统资源的使用情况。每个资源池都可以使用不同的设置配置,以达到最大并发请求的数量,并在请求之间进行节俭。