crawl爬行
audit审计
在burpsuite中,爬虫和审计分为主动被动式。
被动式
在Dashboard仪表盘模块下,有关于爬虫和审计两个功能的设置:
Live passive crawl from Proxy实时被动爬虫
Live audit from Proxy实时审计
被动式是几乎不额外构造请求进行爬虫和扫描,根据用户浏览网页进行常规请求,并对请求的数据进行简单分析。
主动式
在Dashboard仪表盘模块下,点击New scan,进行扫描配置。
Scan details扫描细节
Scan Type扫描类型,分为Crawl and audit和Crawl,即爬虫和审计,或者只爬虫。
URLs to Scan扫描的URL,定义URL用于扫描,扫描将包括整个URL下的文件夹。
Detailed scope configuration详细的范围配置,通过Included URL prefixes包括URL前缀和Excluded URL prefixes不包括的URL前缀配置详细的扫描
Use advanced scope control使用高级的范围控制,如果勾选,将配置Included URLs包含的URL和Excluded URLs不包含的URL来配置扫描。
点击Add,弹出配置窗口:
Protocol:HTTP、HTTPS、Any三个选项
Host or IP range:Enter输入 regex正则表达式、IP range or leave blank空白
Port:Enter regex or leave blank
File:Enter regex or leave blank
Scan configuration扫描配置
一般默认即可
Application login应用登录
如果扫描过程中需要登录,用于配置username和password
Resource pool资源池
用于配置扫描的进程和时间
Create new resource pool创建新的资源池
Name,随便命名
Maximum concurret requests,最大并发请求,默认配置为10
Delay between request,请求之间延时
add random variations,添加随机变化
miliseconds,毫秒