crawl爬行
audit審計
在burpsuite中,爬蟲和審計分為主動被動式。
被動式
在Dashboard儀表盤模塊下,有關於爬蟲和審計兩個功能的設置:
Live passive crawl from Proxy實時被動爬蟲
Live audit from Proxy實時審計
被動式是幾乎不額外構造請求進行爬蟲和掃描,根據用戶瀏覽網頁進行常規請求,並對請求的數據進行簡單分析。
主動式
在Dashboard儀表盤模塊下,點擊New scan,進行掃描配置。
Scan details掃描細節
Scan Type掃描類型,分為Crawl and audit和Crawl,即爬蟲和審計,或者只爬蟲。
URLs to Scan掃描的URL,定義URL用於掃描,掃描將包括整個URL下的文件夾。
Detailed scope configuration詳細的范圍配置,通過Included URL prefixes包括URL前綴和Excluded URL prefixes不包括的URL前綴配置詳細的掃描
Use advanced scope control使用高級的范圍控制,如果勾選,將配置Included URLs包含的URL和Excluded URLs不包含的URL來配置掃描。
點擊Add,彈出配置窗口:
Protocol:HTTP、HTTPS、Any三個選項
Host or IP range:Enter輸入 regex正則表達式、IP range or leave blank空白
Port:Enter regex or leave blank
File:Enter regex or leave blank
Scan configuration掃描配置
一般默認即可
Application login應用登錄
如果掃描過程中需要登錄,用於配置username和password
Resource pool資源池
用於配置掃描的進程和時間
Create new resource pool創建新的資源池
Name,隨便命名
Maximum concurret requests,最大並發請求,默認配置為10
Delay between request,請求之間延時
add random variations,添加隨機變化
miliseconds,毫秒