安全学习笔记day7-BurpSuite之Scanner被动、主动扫描使用

最新推荐文章于 2025-06-09 17:23:14 发布

原创最新推荐文章于 2025-06-09 17:23:14 发布 · 6.7k 阅读

4 ·

CC 4.0 BY-SA版权

本文介绍了如何完成被动扫描及主动扫描后的报告导出工作，包括选择文件格式为html或xml，并详细说明了两种扫描方式的区别。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

1、被动扫描

扫描完成后导出被动扫描报告

可以导出xml或者html，我们这里搞html出来

ok！

2、主动扫描

扫描方法同上只是选择Activity Scan

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

sx234com

关注关注

0
点赞
踩
4

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

Burpsuite系列安全渗透--自动扫描生成h5报告

魔都虫师的博客

09-11

2472

第一章简述 Burpsuite是基于Java的用于web安全的工具，能够进行爬虫、代理、编码、密码爆破等任务，并支持对XSS漏洞、文件包含等漏洞的主动扫描或被动扫描。burpsuite2.0具体分为以下11个模块： Dashboard(仪表盘)——显示任务、实践日志等。 Target(目标)——显示目标目录结构的的一个功能。 Proxy(代理)——拦截HTTP/S的代理服务器，作为一个在浏览器和目标应用程序之间的中间人，允许你拦截，查看，修改在两个方向上的原始数据流。 Intruder(...

BurpSuite实战七之使用Burp Scanner

悦分享

06-10

1813

Burp Scanner的功能主要是用来自动检测web系统的各种漏洞，我们可以使用Burp Scanner 代替我们手工去对系统进行普通漏洞类型的渗透测试，从而能使得我们把更多的精力放在那些必须要人工去验证的漏洞上。在使用Burp Scanner之前，我们除了要正确配置Burp Proxy并设置浏览器代理外，还需要在Burp Target的站点地图中存在需要扫描的域和URL模块路径。如下图所示：当Burp Target的站点地图中存在这些域或URL路径时，我们才能对指定的域或者URL进行全扫描或者分支扫描

参与评论您还未登录，请先登录后发表或查看评论

6.Burp Suite 入门篇 —— Burp Scanner 漏洞扫描

YouTheFreedom的博客

04-12

7585

Burp Scanner 既可以是独立的全自动扫描器，也可以在手动测试中当作强大的辅助手段，而且随着技术改进，Burp Scanner 能检测到的漏洞数量也在不断增加。Burp Scanner 功能只在 burpsuite 专业版和企业版中里有，本篇教程讲的是专业版的 Burp Scanner 用法。

被动扫描的原理与应用

xghcg756的博客

06-07

822

在网络安全领域，被动扫描作为一种非侵入式检测技术，通过监听和分析网络流量、日志数据等已有信息来识别潜在的安全风险。与主动扫描通过发送探测请求直接交互目标不同，被动扫描的核心优势在于其隐蔽性和低干扰性，适用于生产环境、敏感系统以及长期安全监控场景。本文将从技术原理、核心工具、典型应用场景及发展趋势四个维度，系统阐述被动扫描的机制与实践价值。

BurpSuite学习-扫描

weixin_49349476的博客

04-24

2936

在Burpsuite中，扫描分为主动扫描和被动扫描。主动扫描主要针对客户端的漏洞和服务端的漏洞。被动扫描针对提交的密码为未加密的明文。不安全的cookie的属性、例如缺少HttpOnly和安全标志、cookie的范围缺失等

Burpsuite主动扫描New Scan详细解析

qq_60115503的博客

05-11

4878

Burpsuite简介 Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具，并为这些工具设计了许多接口，以促进加快攻击应用程序的过程。

burpsuite 系统漏洞扫描工具

11-28

burpsuite web系统漏洞扫描工具，windows系统下安装，扫描网站系统漏洞

蓝桥杯AcWing学习笔记 4-2模拟的学习（附相关蓝桥真题：错误票据、移动距离、日期问题、航班时间

2401_84281648的博客

04-30

902

j∣∣yi−yj∣矩阵中的数字是蛇形排列，难点是求出数字的坐标，我们可以借鉴二维数组，将矩阵中的所有数-1，便于求我们的行号：列号怎么求呢？我们看一下排序正常的二维数组：但题目是蛇形排列的，也就是所有的奇数行我们应该把坐标翻转一下，这里特判一下就可以。时间复杂度O1O(1)O(1)

网络攻防web方向路线

最新发布

2401_87499655的博客

06-09

725

yeedo博客里的导图此文为更方便使用，将链接单独拿出，部分失效链接寻找一些关键词相同的文章替换个人向计划通：在经过对网络安全简单了解后发现靠做题得到的浅显的知识是无法支持后续学习，亟待完整的知识体系，鉴于作者本身大部分时间须用于与计算机无关的事情，故选择web方向切入，听说前期简单后期难，如果能熬到后期证明至少是有一点天赋，到时再考虑其他的问题。计划时长：一年以内（没学过，具体看情况）学习效果一年以后见真章

burp插件-J2EEScan-1.2.5

05-30

编译好的burp插件，J2EEScan-1.2.5，包含依赖库，可直接导入burp使用

Burp入门（4）-扫描功能介绍

世界上没有所谓的天生如此，只是有人在坚持，不要因为自己不擅长而放弃努力

11-27

1929

的教学本文介绍burp的主动扫描和被动扫描功能。

Burpsuite-JSScan:burpsuite插件：主动和被动进行JS扫描并分析其中的可利用点

05-23

Burpsuite JsScan 插件 burpsuite插件：主动和被动进行JS扫描目前实现了主动扫描和被动扫描主动扫描模块使用了珍藏字典被动扫描模块将会分析每一个经过burpsuite的请求，如果是js文件就会记录排除常见的JS库，只分析自定义JS，有效发现目标将扫描到的自定义JS文件自动添加到自带字典中，逐步完善字典拓展具体可利用点的分析，例如ajax语法等（在github上发现了外国大佬用python写这个burp插件）关于解析JS，参考https://github.com/Threezh1/JSFinder的实现，基于一个大正则，外国大佬的工具也是基于这个大正则其实关于可利用点和隐藏接口等，手动分析最佳，插件帮你快速找出JS文件的URL即可简单使用方式主动扫描功能输入JS路径就可以开始（https://www.xxx.com/static/js/），相当于一

[工具] BurpSuite--Scanner功能

weixin_30847939的博客

09-03

267

BurpSuite--Scanner功能 0x00 配置 Scanner有四个选项 Result -- 展示扫描结果 Scan queue -- 显示扫描的队列 Live scanning -- 我们也可以对请求的域、路径、IP地址、端口、文件类型进行控制 Options -- 针对这主动/被动两种扫描方式在实际扫描中的扫描动作进行设置 0x001 Options配置说明 Atta...

Burpsuit使用02：Burp Scanner的使用

汪敏的博客

06-08

298

例如：第一章 Python 机器学习入门之pandas的使用。

BurpSuite搭配Xray被动扫描

The current road is different, love needs to distinguish between right and wrong

02-05

3934

简介 Xray 社区版是长亭科技推出的免费白帽工具，有 xray 漏洞扫描器和 Radium 爬虫工具，是一种功能强大的扫描工具。根据系统选择对应版本，无依赖，无需安装，下载后直接使用。 --plugins 指定要运行的插件，用“，”分隔 --poc 指定要运行的 poc，用 ',' 分隔 --listen 使用代理资源收集器，值为代理地址，（例如：127.0.0.1:1111） --basic-crawler 使用基本爬虫爬取目标并扫描请求 --browser-

渗透测试（被动扫描）

m0_74913273的博客

12-13

462

定义：被动扫描是一种网络安全测试方法，通过监听和分析网络流量中的数据包，以发现潜在的漏洞、安全风险和敏感信息泄露。3. BinaryEdge：BinaryEdge是一个网络安全数据平台，提供类似于ZoomEye和Shodan的功能，可用于搜索和分析互联网上的设备和漏洞。1. 网络流量监控：被动扫描通过监听网络流量，包括入站和出站的数据包，以获取有关系统和应用程序的信息。4. 安全审计：通过对网络流量进行被动扫描，可以进行安全审计，以评估系统和应用程序的安全性，并确定是否存在安全漏洞或违规行为。

网络渗透测试（被动扫描）

m0_72827793的博客

11-13

391

Google Hacking 是利用谷歌搜索的强大，来在浩瀚的互联网中搜索到我们需要的信息。轻量级的搜索可以搜素出一些遗留后门，不想被发现的后台入口，中量级的搜索出一些用户信息泄露，源代码泄露，未授权访问等等，重量级的则可能是mdb文件下载，CMS 未被锁定install页面，网站配置密码，php远程文件包含漏洞等重要信息。WAF 可以是基于网络的，也可以是基于主机的，还可以是云端的服务提供。例如，基于网络的 WAF 通常用于保护网络边界，而基于主机的 WAF 则更适用于保护特定的应用程序。

1-8 Burpsuite 漏洞扫描介绍

小司机的奥拓

07-25

1270

Burp Scanner的功能主要是用来自动检测web系统的各种漏洞，我们可以使用BurpScanner代替我们手工去对系统进行普通漏洞类型的渗透测试，从而能使得我们把更多的精力放在那些必须要人工去验证的漏洞上。进一步解放我们的生产力，提高我们的工作效率。

被动扫描简要介绍

wu_hong138901797的博客

10-09

301

被动扫描是一种网络探测技术，它通过监听网络流量来收集信息，而不是主动发送探测数据包。

汉化版burpsuite漏洞扫描使用

01-24

### 使用汉化版Burp Suite进行漏洞扫描指南 #### 安装与配置安装并启动Burp Suite后，在界面右下角可以选择语言设置，切换到中文版本[^1]。完成语言包加载之后，整个操作环境会转换成简体中文。 #### 配置浏览器代理为了使浏览器流量能够被Burp捕获分析，需配置浏览器使用本地主机上的Burp代理服务，默认端口为8080。确保网络请求通过此通道传输以便后续处理。 #### 执行爬取任务利用站点地图功能自动发现目标网站结构，并记录所有访问过的URL路径以及提交表单等交互行为。这一步骤有助于全面了解应用程序接口情况，从而更有效地识别潜在的安全隐患位置。 #### 启动主动扫描器在项目视图中的特定节点上点击鼠标右键菜单选项来发起针对选定范围内的自动化安全测试流程；也可以手动输入待检测链接地址执行单独检查动作。 ```python # Python脚本可以辅助定制化扫描逻辑（可选） from burpsuite import BurpExtender, IScannerCheck, IScanIssue class CustomScanner(BurpExtender, IScannerCheck): pass # 实现自定义插件类以增强默认功能集之外的能力 ``` #### 查看报告结果当扫描完成后可以在“问题”标签页查看由工具生成的风险提示列表及其详情描述，包括但不限于SQL注入、XSS跨站脚本攻击等多种常见Web应用层威胁类型。对于每一个确认存在的缺陷项都应认真对待并及时采取措施修复之。