@怪人
3年前 提问
1个回答

burpsuite怎么扫描漏洞

趣能一姐
3年前
  1. 保持抓包功能开启;

  2. 单机数据包区域,右键选择”激活主动扫描(Do an active scan)”;

  3. 扫描功能设置;

    • Issue activity:这里记录了问题发生的顺序,时间,问题类型,url地址等
    • Scan queue扫描队列:扫描队列记录了扫描主机、扫描状态、问题数量、请求的次数的等扫描信息
    • Living scanning在线扫描:可以设置扫描策略,即是否在监听时发现站点就进行扫描,这里默认的开关是关
    • 问题列表:这里列出了burpsuite可以测试的的漏洞类型,包括注入、xss、命令执行等各类常见的web漏洞
    • options 设置:对burpsuite的扫描进行设置
  4. 对burpsuite的扫描结果进行验证;

注意:需要一直开启监听功能,不要关闭代理和监听,bp的扫描功能不如商业化扫描工具准确;