一、BurpSuite的常见功能
-
仪表盘:仪表盘,扫描启动、暂停,用于显示任务、日志信息等
-
目标:设置工作的目标范围(URL),以及报文过滤、报文展示等功能
-
代理:拦截HTTP/S请求的代理服务器,作为web浏览器与服务器的中间人,允许拦截、修改数据流
-
测试器:入侵功能,对web应用程序进行攻击,还可以漏洞利用、Web应用程序模糊测试、暴力pojie等
-
重发器:通过手动来触发单词HTTP请求,并分析应用程序的响应包
-
定序器:会话模块,用于分析那些不可预知的应用程序会话令牌和重要数据的随机性的工具。
-
解码器:是一个进行手动执行或对应用程序数据者智能解码编码的工具
-
对比器:对比模块,对数据进行差异化分析
-
插件扩展:可以加载BP拓展模块和第三方代码
-
设置模块:可以设置项目、用户等信息
二、Web站点漏洞扫描
- Burpsuite 提供了检测web系统的各种漏洞,可以使用自动化的方式针对系统进行普通漏洞类型的渗透测试从而能使得我们把更多的精力放在其它的需要人工验证的漏洞上。BurpSuite的漏洞扫描功能可以结合目标和仪表盘两个功能模块实现。
即使不懂得安全测试,使用此工具扫描下,也可以发现漏洞的问题
1、操作步骤
(1)配置URL
- 爬虫与审计:不仅目录帮我们扫描出来,还会针对目录下一些文件进行漏洞的诊断,并且把漏洞梳理出来
- 爬虫:将我们的站点的一些文件目录帮我们扫描出来
(2)配置扫描深度
(3)配置登录账号/密码
(4) 配置并发
(5)查看被爬到的具体信息
(6)查看扫描的结果
查看扫描结果详情:
(7) 查看是否有不应该被扫描到的URL:
