03.BurpSuite之Dashboard新建扫描

Leefs 2022-09-18 PM 2636℃ 0条

[TOC]

### 一、概述

Burp Scanner的功能主要是用来**自动检测web系统的各种漏洞**，**可以使用Burp Scanner代替手工去对系统进行普通漏洞类型的渗透测试**，从而能使测试人员把更多的精力放在那些必须要人工去验证的漏洞上。

### 二、整体流程

#### 1、启动扫描

**可以通过多种方式启动扫描：**

+ **从特定的 URL 扫描**：这通过对一个或多个提供的 URL 中的内容进行爬取并有选择地审核爬取的内容来执行扫描。为此，请转到 Burp 仪表板，然后单击 “新建扫描” 按钮。
+ **扫描选定的项目**：可以对特定的 HTTP 请求执行仅审核扫描（不进行爬取）。为此，在 Burp 中的任意位置选择一个或多个请求，然后从上下文菜单中选择 “扫描”。
+ **实时扫描**：使用实时扫描来自动扫描由其他 Burp 工具（如 Proxy 或 Repeater 工具）处理的请求。可以精确配置要处理的请求，以及是否应扫描它们以识别内容或审核漏洞。为此，转到 Burp 仪表板，然后单击 “新建实时任务” 按钮。
+ **即时扫描**：可以从上下文菜单启动即时主动或被动扫描。可以快速检查漏洞，而无需打开扫描启动器。可以通过右键单击请求来访问这些选项。或者，可以配置用于触发即时扫描的热键。

#### 2、配置扫描类型

**可以选择以下扫描类型：**

- **爬取并审计(Crawl and audit)** ：该选项将从一个或多个URL开始进行爬取，然后进行审计并查找发现漏洞。
- **仅爬取(Crawl)**： 该选项将从一个或多个URL开始进行爬取，但是不进行审计工作。
- **审计所选项目(Audit selected items)**： 该选项仅在通过在 Burp 中选择一个或多个请求/响应并在上下文菜单中选择`扫描(Scan)`选项来启动扫描器时才可用。

#### 3、监控扫描活动

**可以通过多种方式监视扫描的进度和结果：**

+ Burp 仪表板显示有关每个任务进度的指标，问题活动日志显示所有扫描任务报告的问题。
+ 可以打开单个扫描的任务详细信息窗口，以仅查看该扫描的问题活动日志，以及适用任务的审核项目的详细视图。
+ 该目标站点地图显示的所有内容，并已确定，由域和 URL 组织问题。

#### 4、生成报告

可以使用 Burp Scanner 生成 HTML 格式的问题报告。还可以采用适合于导入其他工具的 XML 格式导出问题。

### 三、实操

##### 3.1 打开扫描启动器

转到**仪表板**选项卡并选择**新建扫描**。

![03.BurpSuite之Dashboard新建扫描与实时任务01.jpg](https://lilinchao.com/usr/uploads/2022/09/3880935156.jpg)

**扫描启动器** 对话框打开。可以在此处调整各种设置以控制 Burp Scanner 的行为。

##### 3.2 输入目标站点的 URL

在**要扫描的 URL**字段中，输入`www.baidu.com`。暂时将所有其他设置保留为默认设置。

![03.BurpSuite之Dashboard新建扫描与实时任务02.jpg](https://lilinchao.com/usr/uploads/2022/09/288732.jpg)

**注意**

使用 Burp Scanner 可能会对某些应用程序产生意想不到的影响。在完全熟悉其功能和设置之前，应该只对非生产系统使用 Burp Scanner。除非已获得所有者的授权，否则请勿对第三方网站进行扫描。

##### 3.3 配置扫描

选择**扫描配置**。从这里，可以微调 Burp Scanner 行为的许多方面，以适应不同的用例和目标站点。

确保选择了**使用预设扫描模式**，然后单击**轻量级**。**轻量级**扫描模式旨在尽快提供目标的高级概览。使用此模式的扫描最多运行 15 分钟。

![03.BurpSuite之Dashboard新建扫描与实时任务03.jpg](https://lilinchao.com/usr/uploads/2022/09/2915290474.jpg)

##### 3.4 启动扫描

单击**确定**以启动扫描。Burp Scanner 从上一步中输入的 URL 开始抓取。

请注意，已将新任务添加到**仪表板**以表示此扫描。这会显示一些关键信息，例如当前正在运行的扫描阶段、已发送多少请求等。

![03.BurpSuite之Dashboard新建扫描与实时任务04.jpg](https://lilinchao.com/usr/uploads/2022/09/1669762657.jpg)

##### 3.5 查看实际抓取

转到**目标 -> 网站地图**选项卡并注意`www.baidu.com`.展开此节点以查看到目前为止爬虫设法发现的所有内容。如果等待几秒钟，将看到地图正在实时更新。

![03.BurpSuite之Dashboard新建扫描与实时任务05.jpg](https://lilinchao.com/usr/uploads/2022/09/1408661858.jpg)

##### 3.6 查看已识别的问题

在仪表板中监控扫描的状态。两三分钟后，Burp Scanner 将开始审核漏洞。当它发现问题时，这些问题将显示在 **仪表板选项卡上的**问题活动面板中。

![03.BurpSuite之Dashboard新建扫描与实时任务06.jpg](https://lilinchao.com/usr/uploads/2022/09/4218829810.jpg)

如果选择一个问题，可以看到一个**咨询**选项卡，其中包含有关问题类型的关键信息，包括详细描述和一些补救建议。旁边是几个选项卡，这些选项卡提供了 Burp Scanner 发现的针对此问题的证据。这通常是**请求**和**响应**，但会因问题类型而异。

### 四、生成报告

##### 4.1 选择相关问题

转到**目标> 网站地图**选项卡，右键单击的条目`https://www.baidu.com`，然后选择**问题> 该主机的问题报告**。

![03.BurpSuite之Dashboard新建扫描与实时任务07.jpg](https://lilinchao.com/usr/uploads/2022/09/585694568.jpg)

##### 4.2 配置报告选项

向导会引导完成各种选项，例如要使用的文件格式、要包含的详细信息等等。现在，只需单击**“下一步”**接受默认设置，直到系统提示输入报告的文件名和位置。

![03.BurpSuite之Dashboard新建扫描与实时任务08.jpg](https://lilinchao.com/usr/uploads/2022/09/2352271424.jpg)

##### 4.3 生成并保存报告

单击**选择文件**并选择要保存报告的位置。输入文件的名称。

注意：必须包含适当的文件扩展名，在本例中为`.html`.

##### 4.4 查看报告

在 Burp 的浏览器中打开报告以查看其中包含的内容。这对于向同事或客户报告扫描结果很有用。

![03.BurpSuite之Dashboard新建扫描与实时任务09.jpg](https://lilinchao.com/usr/uploads/2022/09/3063534982.jpg)

标签: BurpSuite

非特殊说明，本博所有文章均为博主原创。

如若转载，请注明出处：https://lilinchao.com/archives/2344.html

上一篇 02.BurpSuite之Proxy使用

下一篇 04.BurpSuite之Target介绍

03.BurpSuite之Dashboard新建扫描

评论啦~

栏目分类

标签云

友情链接申请

03.BurpSuite之Dashboard新建扫描

 评论啦~

 栏目分类

标签云

友情链接申请

评论啦~

栏目分类

标签云

友情链接申请