专业的社区
目标范围
最近更新时间:2022年4月6日
阅读时间:2分钟
目标范围配置使您可以在套件范围内告诉BURP,这是托管和URL构成当前工作的目标。您可以将目标范围视为您目前感兴趣并愿意攻击的项目。
这种配置会影响整个套件中工具的行为。例如:
- 您可以在目标站点地图和代理历史仅显示scope项目。
- 你可以告诉代理截距仅范围内请求和响应。
- 和bepaly下载 ,你可以表演自动实时扫描范围内的项目。
- 您可以配置入侵者和中继器遵循重定向到任何范围内URL。
通过告诉Burp您目前的目标是什么,您可以确保Burp以适当的方式执行许多此类行动,只针对您感兴趣并愿意攻击的项目。在所有情况下,您都可以在单个工具级别上微调目标范围和相关的行为,从而使您对Burp所做的一切,如果需要。但是,整个套件范围的定义提供了一种快速简便的方法来告诉Burp什么是公平的游戏和什么是限制,并且在认真开始工作之前几乎总是值得进行配置。
范围定义使用两个URL匹配规则的列表 - “ inclage”列表和“排除”列表。当Burp评估URL以确定其是否在目标范围内时,如果URL匹配至少一个“ Include”规则并且不匹配任何“排除”规则,则将被视为范围。这使您可以将特定的主机和目录定义为通常在范围内,但仍将特定的子目录或文件(例如注销或管理功能)排除在外。
您可以使用该列表添加或编辑“ Include”和“ Dork”列表URL匹配规则编辑器。但是,在大多数情况下,迄今为止定义目标范围的最简单方法是通过站点地图。当您通过BURP代理绘制目标应用程序时,该应用程序的内容将显示在网站图中。然后,您可以选择一个或多个主机和文件夹,并使用上下文菜单包括或从范围中排除这些。此过程非常简单,在大多数情况下,您将允许您快速定义测试所需的所有规则。