@瞌睡虫
3年前 提问
1个回答

如何利用 bp 进行漏洞扫描

在下炳尚
3年前

Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具,这些工具设计了许多接口,以加快攻击应用程序的过程,其中漏扫过程如下。

  1. 保持抓包功能开启

    保证burpsuite的抓包功能一直开启;

  2. 激活主动扫描

    单机数据包区域,右键选择”激活主动扫描(Do an active scan)”;

  3. 扫描功能选项

    • Issue activity:这里记录了问题发生的顺序,时间,问题类型,url地址等
    • Scan queue扫描队列:扫描队列记录了扫描主机、扫描状态、问题数量、请求的次数的等扫描信息
    • Living scanning在线扫描:可以设置扫描策略,即是否在监听时发现站点就进行扫描,这里默认的开关是关
    • 问题列表:这里列出了burpsuite可以测试的的漏洞类型,包括注入、xss、命令执行等各类常见的web漏洞
    • options 设置:对burpsuite的扫描进行设置
  4. 验证

    对burpsuite的扫描结果进行验证。