---恢复内容开始---
一.Scanner的介绍
Burp Scanner自动执行扫描网站内容和漏洞的任务。根据配置,扫描程序可以抓取应用程序以发现其内容和功能,并审核应用程序以发现漏洞
详细了解Burp Scanner的工作原理
Burp Scanner是一种用于执行网站自动扫描,发现内容和审核漏洞的工具
执行扫描所涉及的工作包括两个关键阶段:
-
对内容进行爬网 - 这涉及在应用程序中导航,跟踪链接,提交表单以及在必要时登录,以对应用程序的内容及其中的导航路径进行编目
-
审核漏洞 - 这涉及分析应用程序的流量和行为,以识别安全漏洞和其他问题。根据扫描配置,它可能涉及向应用程序发送大量请求
Module1:Issue activity
问题活动选项包含了扫描程序在查找新问题和更新现有问题时的活动的顺序记录。记录内容包括:项目的索引号,已执行的操作(Action),问题类型(Issue type),问题的主机(Host),路径(Path),插入点(Insertion point),严重性(Severity),置信度(Confidence),注释(Comment)
advisory:扫描报告说明
Moduel2:Scan queue
扫描队列。显示扫描队列的状态,问题和时间等
主要内容包括:
-
项目的索引号
-
主机和URL
-
该项目的当前状态,包括百分比
-
项目扫描问题的数量
-
在扫描项目的请求数量进行
-
网络错误的数目
-
插入点的数量
-
开始时间和结束时间
Module3:Live scanning
实时扫描可让您决定哪些内容通过使用浏览器的目标应用,通过BurpProxy服务器进行扫描。您可以实时主动扫描设定live active scanning(积极扫描)和live passive(被动扫描)两种扫描模式
Module3:Issue Definitions
漏洞列表,列出Burp可以扫描到的漏洞详情
Module4:Options
包含了Burp扫描选项进行攻击的插入点,主动扫描引擎,主动扫描优化,扫描漏洞,静态代码分析
选项1:Attack Insertion Points
选项2:Active Scanning Engine
控制用来主动扫描时发出HTTP请求的线程,时间间隔等
选项3:Active Scanning Optimization
主动扫描优化,根据实际情况选择扫描方式
选项4:Scanning Issues
扫描漏洞
选项5:Static Code Analysis
