渗透测试工具BurpSuite做网站的安全测试（基础版）

渗透测试工具BurpSuite做网站的安全测试（基础版）

版权声明：本文为博主原创文章，未经博主允许不得转载。

学习网址： https://t0data.gitbooks.io/burpsuite/content/chapter4.html

用命令打开burpsuite工具：jar /your_burpsuite_path/burpSuite.jar

<<BurpSuite_pro_v1.6.27.zip>>

BurpSuite 如何扫描web漏洞： http://www.myhack58.com/Article/html/3/8/2012/36054.htm

运行之前需要安装JAVA环境。

设置代理：8080端口可以随意设置，只要不影响其他端口的通信就行

设置本地浏览器通过此代理访问网络：地址及端口号跟代理的一致。

访问需要扫描的web地址：

所有通过该地址的数据包都已经被截获了，而且在截获的过程中爬行了相关域名及路径，可以再截获数据包的时候进行改包和发送，forward或者drop，这个就先不说了，此次重点是扫描,点击scanner可以看到下面有四个选项,结果,扫描队列,存活的扫描线程和选项。

option去筛选扫描的范围/静态代码分析/扫描的速度和频率等

Issue definitions描述扫描中发现的各种漏洞-安全级别

Scan queue描述了扫描的地址和扫描的进度/发现的issue/发现的error/切入点等

Live scanning可以设置自主扫描还是被动扫描，一般想一个个扫描速度快，也可以自定义扫描的范围

回到target,在截获的URL中选择你想扫描的(也可以CTRL+A)全选,右键加入到scope里

Add to scope后，对该url进行网站进行爬虫，主动扫描被动扫描等

查看扫描的进程（主动扫描的进程）

扫描完的结果，点击结果栏，就能看到具体的详细的信息，可以将该信息导出来。

博主：海宁

联系：whnsspu@163.com