burpsuite2.0爬虫及扫描功能

Posted 2020-11-10 heibaimao123

crawl爬行

audit审计

在burpsuite中，爬虫和审计分为主动被动式。

被动式

在Dashboard仪表盘模块下，有关于爬虫和审计两个功能的设置：

Live passive crawl from Proxy实时被动爬虫

Live audit from Proxy实时审计

被动式是几乎不额外构造请求进行爬虫和扫描，根据用户浏览网页进行常规请求，并对请求的数据进行简单分析。

主动式

在Dashboard仪表盘模块下，点击New scan，进行扫描配置。

Scan details扫描细节

Scan Type扫描类型，分为Crawl and audit和Crawl，即爬虫和审计，或者只爬虫。

URLs to Scan扫描的URL，定义URL用于扫描，扫描将包括整个URL下的文件夹。

Detailed scope configuration详细的范围配置，通过Included URL prefixes包括URL前缀和Excluded URL prefixes不包括的URL前缀配置详细的扫描

Use advanced scope control使用高级的范围控制，如果勾选，将配置Included URLs包含的URL和Excluded URLs不包含的URL来配置扫描。

点击Add，弹出配置窗口：

Protocol：HTTP、HTTPS、Any三个选项

Host or IP range：Enter输入 regex正则表达式、IP range or leave blank空白

Port：Enter regex or leave blank

File：Enter regex or leave blank

Scan configuration扫描配置

一般默认即可

Application login应用登录

如果扫描过程中需要登录，用于配置username和password

Resource pool资源池

用于配置扫描的进程和时间

Create new resource pool创建新的资源池

Name，随便命名

Maximum concurret requests，最大并发请求，默认配置为10

Delay between request，请求之间延时

add random variations，添加随机变化

miliseconds，毫秒