[工具] BurpSuite--Scanner功能

BurpSuite--Scanner功能

0x00 配置

Scanner有四个选项

Result -- 展示扫描结果

Scan queue -- 显示扫描的队列

Live scanning -- 我们也可以对请求的域、路径、IP地址、端口、文件类型进行控制

Options -- 针对这主动/被动两种扫描方式在实际扫描中的扫描动作进行设置

0x001 Options配置说明

Attack Insertion Points

Burp Scanner在扫描中对请求数据包进行扫描，在每一个插入点构造测试语句，对参数值进行替换，从验证可能存在的安全漏洞。

Active Scanning Engine

主动扫描设置主要是用来设置控制主动扫描时的线程、失败重试间隔、失败重试次数、请求延迟等等。其中请求延迟设置（Throttle between requests）和其子选项延迟随机数 （Add random variations to throttle）在减少应用负荷，模拟人工测试，使得扫描更加隐蔽，而不易被网络安全设备检测出来。按自己的需求及配置情况设置线程数及延迟情况。

此选项的设置主要是为了优化扫描的速度和准确率，尽量地提高扫描速度的同时降低漏洞的误报率。 扫描速度（Scan speed）分三个选项，不同的选项对应于不同的扫描策略，当选择Thorough时，Burp会发送更多的请求，对漏洞的衍生类型会做更多的推导和验证。而当你选择Fast，Burp则只会做一般性的、简单的漏洞验证。

Active Scanning Areas

在主动扫描过程中，根据扫描时间、重点等情况，选择不同的扫描范围。这里可选择的扫描范围有：SQL注入 -可以使不同的测试技术（基于错误，时间等），并且可按照特定数据库类型（MSSQL，Oracle和MySQL的）、反射式跨站点脚本、存储的跨站点脚本。

Passive Scanning Areas

因为被动扫描不会发送新的请求，只会对原有数据进行分析，其扫描范围主要是请求和应答消息中的如下参数或漏洞类型：Headers、Forms、Links、Parameters、Cookies、MIMEtype、Caching、敏感信息泄露、Frame框架点击劫持、ASP.NET ViewState

0x01 使用实例

我们可以针对某个请求进行扫描，也可以对整个站点进行扫描，下面说下这两种的使用

对某个请求进行扫描

我们使用proxy拦截请求，然后点击Action选择Do an action scan进行主动扫描

而在proxy的history中选择目标请求右击，可以选择主动或被动扫描

对整个站点进行扫描

其实也不是完全真个站点，我们是使用spider的功能扫描站点，得到站点mapping，然后对mapping进行批量扫描，操作如下：

Actively scan this host -- 主动扫描此站点

Passively scan this host -- 被动扫描此站点