1.運行BurpSuite。 直接點擊jar運行:
2. 設置代理:
BurpSuite配置:
進入proxy -> options,IP 設置(掃描burpSuite本機瀏覽器使用127.0.0.1,掃描遠程瀏覽器設置成burpSuite這台機器的ip地址).
intercept設置為off
瀏覽器設置(chrome為例):進入瀏覽器設置,按下列步驟進行(如果是本機用127.0.0.1)。
3. 錄制腳本:
打開瀏覽器,進入測試的站點,在target/proxy查看是否獲取到請求信息。(如果需要證書或者安全警告,繼續進去就好,或者安裝證書),按項目需要測試完成所有流程。
URL加到Target scope:
查看Scope:
4. 保存腳本,掃描腳本:
保存:左上角,點擊Burp -> Save state.
開始掃描:選中你錄制的測試站點,右鍵點擊Actively scan this host.
查看掃描進度:
5. 生成報告:
選中右邊issues窗口的所有項,右鍵點擊Report selected issues。
打開報告開始分析:
PS:API 掃描(請開啟postman,並且打開瀏覽器同步功能),其他步驟和web一致.
