【Burp入门第七篇】使用BurpSuite进行主动、被动扫描和主动、被动爬虫

已于 2024-05-24 14:38:47 修改
阅读量4.2k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: BurpSuite入门教程(附实战图文) 文章标签: BurpSuite 渗透工具
于 2024-04-06 15:47:48 首次发布
原创文章,禁止转载,否则保留追究法律责任的权利。
本文链接:https://blog.youkuaiyun.com/2301_77485708/article/details/137430181
本文详细介绍了如何使用Burp Suite进行主动和被动扫描,以及主动和被动爬虫操作。通过实例展示了设置扫描目标、调整扫描设置、查看扫描结果和生成漏洞报告的过程,帮助读者掌握这款强大的渗透测试工具。

Burp Suite是一款功能强大的渗透测试工具,被广泛应用于Web应用程序的安全测试和漏洞挖掘中。
本专栏将结合实操及具体案例,带领读者入门、掌握这款漏洞挖掘利器
读者可订阅专栏:【Burp由入门到精通 |优快云秋说】

在这里插入图片描述

文章目录

前言

Burp Scanner 既可以用作全自动扫描仪,也可以用作增强手动测试工作流程的强大手段。

扫描网站涉及两个阶段:

  • 抓取内容和功能: Burp Scanner 首先在目标站点周围导航,密切反映真实用户的行为。它对站点的结构和内容以及用于导航的路径进行编目,以便构建站点的综合地图。
  • 漏洞审核: 扫描的审核阶段涉及分析网站的行为以识别安全漏洞和其他问题。 Burp Scanner 采用多种技术来提供高覆盖率、准确的目标审计。

主动扫描

扫描步骤如下。

在仪表盘中点击新建扫描

在这里插入图片描述

选择扫描目标时可输入一个或多个URL:

在这里插入图片描述

定义扫描设定(我们可以微调 Burp Scanner 的许多方面,以适应不同的用例和目标站点):

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Burpsuite系列安全渗透--自动扫描生成h5报告
魔都虫师的博客
09-11 2626
第一章简述 Burpsuite是基于Java的用于web安全的工具,能够进行爬虫、代理、编码、密码爆破等任务,并支持对XSS漏洞、文件包含等漏洞的主动扫描被动扫描burpsuite2.0具体分为以下11个模块: Dashboard(仪表盘)——显示任务、实践日志等。 Target(目标)——显示目标目录结构的的一个功能。 Proxy(代理)——拦截HTTP/S的代理服务器,作为一个在浏览器目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。 Intruder(...
安全测试工具指南:OWASP ZAPBurp Suite入门
软件工程实践的博客
07-16 849
安全测试工具旨在解决网络应用程序在开发、部署运行过程中可能存在的安全漏洞问题。这些漏洞可能导致数据泄露、恶意代码执行、非法访问等安全事件。OWASP ZAP Burp Suite 都致力于发现分析这些漏洞,帮助开发人员安全人员及时采取措施进行修复。
BurpSuite渗透测试通关手册—从环境配置到报告生成
qq_41314882的博客
03-08 1686
在Web应用安全测试中,Burp Suite被誉为“渗透测试的瑞士军刀”,其强大的扫描功能能高效挖掘SQL注入、XSS、信息泄露等漏洞。本文将结合实战步骤,详细解析如何利用Burp Suite进行安全扫描,助你快速掌握核心技巧!
BurpSuite学习-扫描
weixin_49349476的博客
04-24 3014
Burpsuite中,扫描分为主动扫描被动扫描主动扫描主要针对客户端的漏洞服务端的漏洞。被动扫描针对提交的密码为未加密的明文。不安全的cookie的属性、例如缺少HttpOnly安全标志、cookie的范围缺失等
您了解Burp Suite的主动扫描Active Scanning被动扫描Passive Scanning的区别是什么吗?
最新发布
liwenxiang629的博客
10-28 1002
BurpSuite主动扫描被动扫描是两种核心漏洞检测方式。被动扫描仅分析流量,检测表面漏洞(如信息泄露),零风险且实时;主动扫描则发送恶意请求检测深度漏洞(如SQL注入),存在风险但更全面。最佳实践为先被动扫描快速评估,再对高风险区域进行主动扫描。两者互补,结合使用可提高检测效率,但需注意主动扫描的法律合规性性能影响。
1-7 Burpsuite 爬虫介绍
山兔的博客
11-25 3449
Burpsuite Spider介绍 Burp Spider的功能主要使用于大型的应用系统测试,它能在很短的时间内帮助我们快速地了解系统的结构分布情况,抓取到某些隐藏的页面等等 Burpsuite Spider Control介绍 具有开关爬虫的功能,以及设置爬取状态、爬取目标。默认在Target设置。 Spider is running:开关爬虫的功能 Clear queues:清空爬虫之后的队列 可以通过设置Spider Score来表示我们要爬取那些目标域 同时我们也可以自定义设置,设置的方式
Burpsuite主动扫描New Scan详细解析
qq_60115503的博客
05-11 5103
Burpsuite简介 Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。
【常用工具】BurpSuite扫描
热门推荐
Fighting_hawk的博客
01-19 2万+
1. 了解软件的抓包功能扫描功能。 2. 了解主动扫描被动扫描的差异。 3. 掌握请求报文响应报文内容。
Burp Suite 使用手册
xiangxue666的博客
09-09 2178
Burp Suite 使用手册
BurpSuite Trick ALL In ONE (第一版)
jklbnm12的博客
10-12 1113
BurpSuite 是一款Web安全研究人员、渗透测试人员BugHunter的工具,在实际使用的时候一些小Trick将会帮助你更高效的使用这款工具,本文是在看到 Twitter上@sec_r0 开启的一个话题 #BurpHacksForBounties 之后基于他提到的一些trick进行扩展之后撰写的,在撰写的途中融合进了个人在使用BurpSuite时的一些trick想法,也参考了众多文章,本篇为第一版,随后再有更多Trick的话会继续更新下一版。 BurpSuite Trick ALL In ONE
【Acunetix-WVS漏洞扫描入门宝典】:零基础打造Web安全专家的第一步
![安全扫描器Acunetix-WVS中文教程]...通过详细介绍Acunetix-WVS的安装、配置使用方法,本文深入解析了Web漏洞的分类识别技术,重点讨论了黑盒扫描与白盒扫描技术的应用,并提供了实战演练。此外,本文还探讨了W
Burpsuite-UAScan:burpsuite插件:被动进行未授权访问扫描
05-23
Burpsuite UAScan 插件 Burpsuite插件:被动方式进行未授权访问漏洞(越权)的扫描 被动扫描经过Burpsuite的每一个请求 通过修改Cookie头重新访问判断是否存在未授权访问(越权)问题 如果扫描到未授权访问的URL会显示到空白区域中 采用Jaro-Winkler距离算法进行页面相似度判断,提高准确度 加入过滤器功能,用英文分号分隔可输入多个域名(xxx.xxx)作为过滤,大大提高挖洞效率 简易教程 在Release中下载插件,安装后会多出一个页面:UAScan。 进入这个页面勾选开启被动扫描,然后不用做任何操作,正常使用Burpsuite即可。 自动检测所有的流量,然后将可能存在未授权访问漏洞的URL显示到UAScan的页面中。 一般建议在登录某系统后使用,是挖掘未授权访问漏洞的利器。 目前只排除了静态文件,后续可以自定义排除规则 开发者 小迪安全团队(许少,
burpsuite 扫描工具
10-21
很强大的java写的扫描工具 大家分享一下
burpsuite 系统漏洞扫描工具
11-28
burpsuite web系统漏洞扫描工具,windows系统下安装,扫描网站系统漏洞
Burpsuite-JSScan:burpsuite插件:主动被动进行JS扫描并分析其中的可利用点
05-23
Burpsuite JsScan 插件 burpsuite插件:主动被动进行JS扫描 目前实现了主动扫描被动扫描 主动扫描模块使用了珍藏字典 被动扫描模块将会分析每一个经过burpsuite的请求,如果是js文件就会记录 排除常见的JS库,只分析自定义JS,有效发现目标 将扫描到的自定义JS文件自动添加到自带字典中,逐步完善字典 拓展 具体可利用点的分析,例如ajax语法等(在github上发现了外国大佬用python写这个burp插件) 关于解析JS,参考https://github.com/Threezh1/JSFinder的实现,基于一个大正则,外国大佬的工具也是基于这个大正则 其实关于可利用点隐藏接口等,手动分析最佳,插件帮你快速找出JS文件的URL即可 简单使用方式 主动扫描功能输入JS路径就可以开始(https://www.xxx.com/static/js/),相当于一
安全测试扫描利器-Burpsuite
xiaojieceo的博客
06-01 1303
前阵子有学员在尝试使用appscan对公司app做被动扫描时出现一些问题,发现无法即使导入了appscan的证书也无法抓到https的包。推荐他使用burpsuite后,成功抓到了https的包并且也完成了他的扫描工作。
BurpSuite】插件开发学习之J2EEScan(上)-被动扫描
HWHXY的博客
08-30 995
插件开发学习第5套。
漏洞发现:Burp Suite 联动 XRAY 图形化工具.(主动扫描+被动扫描
网络安全领域___专研者.
02-10 3184
Burp Suite Xray 联合使用,能够将 Burp 的强大流量拦截与修改功能,与 Xray 的高效漏洞检测能力相结合,实现更全面、高效的网络安全测试,同时提升漏洞发现的准确性测试效率。
burpsuite漏洞扫描
2501_91003980的博客
03-09 1185
BurpSuite是由PortSwigger公司开发的一款集成式Web应用安全测试平台,其设计目的是帮助安全测试人员开发者找到并修复Web应用中的安全问题,从而提升整体的应用安全性。BurpScanner则是其自动扫描工具,能够对目标应用进行深度扫描,查找常见的安全问题。
Burpsuite-JSScan:深度解析JS可利用点的主动被动扫描插件
资源摘要信息:"Burpsuite-JSScan是Burpsuite的一个扩展插件,主要功能是主动被动扫描网站中的JavaScript文件。通过分析网站中使用的JavaScript代码,该插件可以识别出可利用的点,例如安全性漏洞或者隐藏的接口...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值