泷羽Sec-Burp Suite IP伪造和爬虫审计

声明！
学习视频来自B站up主 **泷羽sec** 有兴趣的师傅可以关注一下，如涉及侵权马上删除文章，笔记只是方便各位师傅的学习和探讨，文章所提到的网站以及内容，只做学习交流，其他均与本人以及泷羽sec团队无关，切勿触碰法律底线，否则后果自负！！！！有兴趣的小伙伴可以点击下面连接进入b站主页[B站泷羽sec](https://space.bilibili.com/350329294)

一、安装插件

1.先安装jar文件，在安装插件

二、FakeIP使用

1.进行拦截，随便抓取一个包右键请求包，在"Extensions"选项，burpFakelP插件

customlP:生成指定
IP127.0.0.1:回环地址
randomlP:生成随机
IPAutoXFF:默认字段
生成了大量随机IP，在请求包中然后我们在将请求发送到爆破模块中，添加payload2.IP伪造和IP代理的区别

IP伪造在通过在修改或者伪造请求包中的源IP，来欺骗浏览器和绕过一些基础的waf的作用，也有一定的隐藏效果
IP伪造是伪造假的IP，只能绕过一些基础的防御而，IP代理池里的IP都是真实存在的，每一个请求都是正常的访问

三、爬虫和审计

点击"仪表盘"的首页，这有两个任务分别是 "新建扫描" 和 "新建实时任务"
1.我们先来看新建实时任务，分别有"实时审计"和"实时被动爬虫"
实时审计:
    是对通过代理的所有流量进行实时分析和检测，都是通过官方的POC进行验证
实时被动爬虫:
    不会主动向目标服务器发送请求，而是通过监听流量来收集信息。
实时审计的扫描设定:
    通过配置如何执行扫描的设置
审计优化:
    设置审计的速度和准确率
速度:
    快速，适中，全面

准确率:
    减少漏报率，适中，减少误报率
插入点的类型:
    URL的参数值，Body的参数值，cookie参数值，参数名称，HTTP报头，整个主体，URL路径的文件名，URL路径的文件夹
实时审计和实时被动爬虫结合，就能通过访问网站同时进行信息收集和实时审计，我们随便浏览几个网站，爬虫收集的信息都会传到"目标"的站点地图方便查看，我们在看实时审计，可能没有主动扫描来精确

2.新建扫描

我们在来看看新建扫描，分别有"爬虫与审计"和"爬虫"
爬虫与审计:    
    爬虫和审计同时进行，主动请求网站进行审计
爬虫:
    就主动请求服务器访问，不会进行审计
扫描设定:
    在速度和覆盖范围之间进行选择
轻量:速度最快，范围最小
快速:速度较快，范围较小
平衡:速度适中，范围适中
深度:深度最慢，范围最大
应用登录:
    碰到需要登录的页面，进行自动登录
资源池: 
    根据目标服务器的负担来设置扫捕的速度
设置后就确定开运行