渗透测试工具BurpSuite做网站的安全测试(基础版)

渗透测试工具BurpSuite做网站的安全测试(基础版)

版权声明:本文为博主原创文章,未经博主允许不得转载。

学习网址: https://t0data.gitbooks.io/burpsuite/content/chapter4.html

用命令打开burpsuite工具:jar /your_burpsuite_path/burpSuite.jar

<<BurpSuite_pro_v1.6.27.zip>>

BurpSuite 如何扫描web漏洞: http://www.myhack58.com/Article/html/3/8/2012/36054.htm

运行之前需要安装JAVA环境。

设置代理:8080端口可以随意设置,只要不影响其他端口的通信就行

渗透测试工具BurpSuite做网站的安全测试(基础版)

设置本地浏览器通过此代理访问网络:地址及端口号跟代理的一致。

渗透测试工具BurpSuite做网站的安全测试(基础版)

访问需要扫描的web地址:

所有通过该地址的数据包都已经被截获了,而且在截获的过程中爬行了相关域名及路径,可以再截获数据包的时候进行改包和发送,forward或者drop,这个就先不说了,此次重点是扫描,点击scanner可以看到下面有四个选项,结果,扫描队列,存活的扫描线程和选项。

option去筛选扫描的范围/静态代码分析/扫描的速度和频率等

Issue definitions描述扫描中发现的各种漏洞-安全级别

Scan queue描述了扫描的地址和扫描的进度/发现的issue/发现的error/切入点等

Live scanning可以设置自主扫描还是被动扫描,一般想一个个扫描速度快,也可以自定义扫描的范围

渗透测试工具BurpSuite做网站的安全测试(基础版)

渗透测试工具BurpSuite做网站的安全测试(基础版)

回到target,在截获的URL中选择你想扫描的(也可以CTRL+A)全选,右键加入到scope里

渗透测试工具BurpSuite做网站的安全测试(基础版)

Add to scope后,对该url进行网站进行爬虫,主动扫描被动扫描等

渗透测试工具BurpSuite做网站的安全测试(基础版)

查看扫描的进程(主动扫描的进程)

渗透测试工具BurpSuite做网站的安全测试(基础版)

扫描完的结果,点击结果栏,就能看到具体的详细的信息,可以将该信息导出来。

渗透测试工具BurpSuite做网站的安全测试(基础版)

博主:海宁

联系:whnsspu@163.com

上一篇:RabbitMQ调试与测试工具-v1.0.1 -提供下载测试与使用


下一篇:Core Audio 在Vista/Win7上实现