BurpSuite2021 -- 仪表盘(Dashboard)

原创 已于 2023-02-11 19:24:55 修改 · 750 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #测试工具 #安全性测试 #网络安全

于 2023-01-11 16:37:01 首次发布
本文详细介绍了BurpSuite的仪表盘(Dashboard)功能,包括主动扫描和被动扫描的配置选项。主动扫描涉及扫描配置、爬行策略、错误处理及审计优化等,而被动扫描则是通过实时任务进行。此外,文章还提到了Event log日志信息、Issue activity问题动态和HTTP的基础知识,帮助读者深入理解BurpSuite的使用和网络安全性测试。

BurpSuite – 仪表盘(Dashboard)

自带两个模块,相当于以前版本的spider 和scanner 模块

Dashboard

主要分为三块:
tasks:任务
event log:事件日志;这个主要是burpsuite出现问题或异常状况查看日志用,平时一般用不到。
issue activity:动态发现的问题。这个有个坑,比如点了high后,再有新的high级别的漏洞,不会实时刷新,要重新选下才会出来。

tasks中自带了两个模块,相当于以前版本中的spider和scanner模块的结合体,支持自定义创建。

主动扫描

确定一个URL,然后由扫描器中的爬虫模块爬取所有链接,对GET、POST等请求进行参数变形和污染,进行重放测试,然后依据返回信息中的状态码、数据大小、数据内容关键字等去判断该请求是否含有相应的漏洞

被动扫描:在进行手动测试的过程中,代理将流量转发给漏洞扫描器,然后再进行漏洞检测

主动式

在Dashboard仪表盘块下,点击new scan,进行扫描配置

image-20221128144150787

New scan主动扫描

image-20221130160323466

Scan details,设置扫描模式,爬虫或者爬虫且审计,设置扫描范围,可以把url添加到URLs to Scan

new scan (主动扫描)
scan details 选项有两个,一个是爬虫+审计,第二个是只有审计 然后填上URL即可
scan configuration 可以设置自己的UA头,或者按照默认配置即可
Application login options 应用登录选项,只有爬虫检测到登录表单会自动提交,可以自定义设置账户密码,审计用不到
Resource pool options 并发数配置,默认为10

Scan Configuration

常用的设置也就configuration name和user agent。
user agent在miscellaneous下拉框中设置
user agent可以设置成浏览器的请求头,在浏览器控制台network选项的请求中看见。
最后,编辑好设置后,save to library保存到设置库中。以后就方便直接使用了
image-20221130151629086

Crawl爬行配置文件之Scanconfiguration

Crwal Optimization 爬行的优化 最大链接深度更快还是更完整

image-20221128165531798

  1. Maximum link depth:最大的爬行深度
  2. crawl strategy爬行策略
  3. Fastest最快的Faster很快的Normal普通的More complete爬得更加完整More complete爬得最完整的

Crawl爬行配置文件之Crawl Limits

Crwal Limits 爬行最大限制 最大时间 最多链接 最大请求数

image-20221128165632103

Crawl Limits爬行的限制
Maximum crawl time:设置爬行最长的时间默认150分钟
或者爬行了
Maximum unique locations discovered:爬行长达1500的地址结束 默认1500
Maximum request count:设置发送多少个HTTP请求后结束 默认为空

Crawl爬行配置文件之Login Functions

Login Function 登陆注册 登陆操作:自动注册 用无效的用户名主动触发登陆失败

最低0.47元/天 解锁文章
助安社区
关注
19-1.2 burpsuite模块介绍之dashboard(仪表板)
weixin_43263566的博客
12-31 1076
"来自代理(所有流量)的被动抓取"(live passive crawl from proxy (all traffic)):该任务模板结合了以前版本中的Spider和Scanner模块,可以实现被动抓取功能。动态问题发现(Issue activity):在这个模块中,你可以查看和处理动态发现的问题。综上所述,Dashboard主要分为任务、事件日志和动态问题发现三个模块,帮助你管理和监控任务的执行过程,并及时发现和解决潜在的安全问题。任务(Tasks):在这个模块中,你可以创建和管理不同类型的任务。
Burpsuite主动扫描New Scan详细解析
qq_60115503的博客
05-11 5078
Burpsuite简介 Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。
【工具使用】BurpSuite抓包工具使用详解
热门推荐
李同學的安全圈
03-18 2万+
Burpsuite是一个用于测试Web应用程序安全性的图形化工具。该工具使用Java编写,由PortSwigger Web Security开发。该工具有三个版本。可以免费下载的社区版、专业版和试用后可以购买的企业版。社区版减少了许多功能。它是为网络应用程序安全检查提供全面解决方案而开发的。
BurpSuiteDashboard新建扫描与实时任务
qq_37394476的博客
07-20 954
本章节讲解如何新建实时任务ps:题外话怎么使用汉化包汉化软件?1.从网上荡一个汉化包,自己都可下载,找不到的话,私信我,给你传一个例子:比如我下载的是BurpSuiteChs.jar(网上下载的汉化包名字都不一样,根据自己下载名称修改)注意:一定要与burp suite放在一个目录2.汉化启动新建一个.vbs文件(文件名称无所谓);加入以下代码set ws...
BurpSuite学习-扫描
weixin_49349476的博客
04-24 3002
Burpsuite中,扫描分为主动扫描和被动扫描。主动扫描主要针对客户端的漏洞和服务端的漏洞。被动扫描针对提交的密码为未加密的明文。不安全的cookie的属性、例如缺少HttpOnly和安全标志、cookie的范围缺失等
2021-3-14 burpsuite攻击
kdlssakjdlwj的博客
03-14 433
这里写目录标题攻击模块intruder攻击类型的选择攻击playload攻击设置 攻击模块intruder 攻击类型的选择 攻击playload Sets集合,选择几个集合 控制集合的内容 修改内容 攻击设置
Burpsuite2021安装和基本使用
baidu_41553551的博客
04-03 3781
1、解压文件 2、修改burpsuite.bat文件 原先 修改后(注意--前面有个空格) 3、打开burpsuite.bat文件点击我接受 4、
第三章 如何使用Burp Suite代理
weixin_30469895的博客
10-20 610
Burp Proxy 是Burp Suite以用户驱动测试流程功能的核心,通过代理模式,可以让我们拦截、查看、修改所有在客户端和服务端之间传输的数据。 本章主要讲述以下内容: Burp Proxy基本使用 数据拦截与控制 可选项配置Options 历史记录History Burp Proxy基本使用 通过上一章的学习,我们对Burp Suite代理模式和浏览器代理设置有了...
2021年的burpsuite安装。
2301_79096184的博客
09-26 1076
安装burpsuite很简单的。1.要有java环境,也就是jdk,并且jdk版本要与burpsuite要对应。(如果你的bp安装不起,可能是你的jdk版本不对)2.就是按照我都步骤走就行。3.下载完文件之后,全程离线操作说明一下:这里我用的jdk8,可以去官网下载,也可以直接用这个jdk11如果说你在安装的过程中,不小心发现没有破解页面了,可以将.cfg文件删掉,重新按照步骤走就行。提取码: l13b。
Burp Suite Professional 2020,2021
12-24
Burp Suite Professional 2020.12.1 2021最新burpsuite 2021,简单好用,无需注册!
(2-2)Burp suite 新版入门介绍----Dashboard 仪表盘模块
m0_74037729的博客
04-22 1674
下面那段英文翻译:选择配置以控制扫描的输出方式。您可以选择多个配置,这些配置将依次应用于确定用于扫描的最终配置。如果未选择任何配置,则 burp 扫描仪的默认设置将被使用。URLs to Scan:定义要扫描的 URL,Burp 将开始从这些 URL 开始爬行,将会爬出此 URL 下的所有文件和文件夹。Detailed scope configuration:细节的范围配置。protocol setting:协议设置。作用:设置爬虫和审计的匹配规则,默认的就好了。Scan Type:扫描类型。
网络安全Burpsuite v2021.12.1安装&激活&配置&快捷启动
九芒星的博客
07-11 1万+
这样,每次在打开BurpSuit的时候,不需要在cmd窗口输入命令,直接使用bat文件打开。我们需要通过激活包启动主程序,先打开安装目录,在路经中输入cmd,回车。打开高级系统设置,环境变量,将JDK路经添加进去。为了打开更快,制作一个bat文件,放在文件目录下。在弹出的界面中粘贴刚才复制的内容,点击next。复制后,将生成的密钥复制到BP中,next。至于汉化,不推荐,国产翻译不是很精确。下面是已经下载好的,可以直接使用。先复制左边窗口的内容,run。使用默认的配置文件,启动。这里需要三个jar包。
BurpSuite2021系列(十八)两个Options
46的十哥哥的5哥哥
07-26 428
本文视频版在B站:https://www.bilibili.com/video/BV1aq4y1X7oE?p=18 视频版更加详细,涉及各个参数讲解。 Project Options Project options主要由五个模块组成: 1.Connections 连接 2.HTTP 3.SSL 4.Sessions 5.Misc 杂项 1.Connections 连接 选项1:Platform Authentication 选项2:Upstream proxy servers 选项3:Socks prox
Burpsuite学习笔记
lilcur的博客
10-24 520
Burp Suite是用于Web应用安全测试、攻击Web应用程序的集成平台,它将各种安全工 具无缝地融合在一起,以支持整个测试过程中,从最初的映射和应用程序的攻击面分 析,到发现和利用安全漏洞。“Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享 一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。Burp Suite 结合先进的手工技术与先进的自动化,使你的工作更快,更有效,更有趣。
BurpSuite2021系列(二)环境配置及破解安装
46的十哥哥的5哥哥
07-26 8901
前言 本文视频版在B站:https://www.bilibili.com/video/BV1aq4y1X7oE?p=2 Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中,我们使用Burp Suite将使得测试工作变得更加容易和方便,即使在不需要娴熟的技巧的情况下,只有我们熟悉Burp Suite的使用,也使得渗透测试工作变得轻松和高效。 Burp Suite是由Java语言编写而成,而Java自身的跨平台性
BurpSuite2021 -- 爬虫使用
Web安全工具库
06-05 4572
​又不是什么不三不四的男孩,也没有乱七八糟的关系,为什么生活还是如此糟糕。。。 ---- 网易云热评 从BurpSuite2020开始,好像就找不到爬虫的的选项卡了,今天尝试一下他隐藏的爬虫功能。 一、从Target中找到要爬取的网站,右击网站地址,选择Engagementtools,选择Discovercontent 二、配置参数 1、选择扫描目录或文件,并对目录进行递归扫描 2、选择扫描目录或文件字典,可以选择默认的,也可以手动添加字典文件 3、设置测试的扩展名,设置...
第六种:BurpSuite使用dashboard仪表盘
最新发布
欢迎来到本博客!
10-27 545
【代码】第六种:BurpSuite使用dashboard仪表盘
Burpsuite系列 -- burp2021.03安装使用
Web安全工具库
03-11 3539
​你可以爱一个人卑微到尘埃里,但没人会喜欢尘埃里的你。。。 ---- 网易云热评 声明:该软件来源网络,仅供学习交流 一、下载地址: 1、公众号回复20210310 2、关注视频号:之乎者也吧,私信我 二、解压后,双击打开BurpSuite点击 三、打开BurpSuiteLoader,将license信息复制到过去,点击next 四、选择manualactivation 五、copyrequest到activationre...
Unix时间戳编辑利器:Burp-Timestamp-Editor插件详解
Burp-Timestamp-Editor是一个Burp Suite的插件,它为Burp Suite提供了一个图形用户界面(GUI),用于在Burp Suite的消息编辑器中查看和编辑Unix时间戳。Unix时间戳是一个表示自1970年1月1日00:00:00 UTC(协调世界时...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值