滲透測試工具BurpSuite做網站的安全測試(基礎版)
版權聲明:本文為博主原創文章,未經博主允許不得轉載。
學習網址: https://t0data.gitbooks.io/burpsuite/content/chapter4.html
用命令打開burpsuite工具:jar /your_burpsuite_path/burpSuite.jar
<<BurpSuite_pro_v1.6.27.zip>>
BurpSuite 如何掃描web漏洞: http://www.myhack58.com/Article/html/3/8/2012/36054.htm
運行之前需要安裝JAVA環境。
設置代理:8080端口可以隨意設置,只要不影響其他端口的通信就行
設置本地瀏覽器通過此代理訪問網絡:地址及端口號跟代理的一致。
訪問需要掃描的web地址:
所有通過該地址的數據包都已經被截獲了,而且在截獲的過程中爬行了相關域名及路徑,可以再截獲數據包的時候進行改包和發送,forward或者drop,這個就先不說了,此次重點是掃描,點擊scanner可以看到下面有四個選項,結果,掃描隊列,存活的掃描線程和選項。
option去篩選掃描的范圍/靜態代碼分析/掃描的速度和頻率等
Issue definitions描述掃描中發現的各種漏洞-安全級別
Scan queue描述了掃描的地址和掃描的進度/發現的issue/發現的error/切入點等
Live scanning可以設置自主掃描還是被動掃描,一般想一個個掃描速度快,也可以自定義掃描的范圍
回到target,在截獲的URL中選擇你想掃描的(也可以CTRL+A)全選,右鍵加入到scope里
Add to scope后,對該url進行網站進行爬蟲,主動掃描被動掃描等
查看掃描的進程(主動掃描的進程)
掃描完的結果,點擊結果欄,就能看到具體的詳細的信息,可以將該信息導出來。
博主:海寧
聯系:whnsspu@163.com