2.1 Burp Suite如何掃描網站

Burp Scanner可以自動執行掃描網站內容和漏洞的任務。根據配置，掃描程序可以爬網應用程序以發現其內容和功能，并審核應用程序以發現漏洞。

啟動掃描

可以通過多種方式啟動掃描：

• 從特定的URL掃描。這通過對一個或多個提供的URL中的內容進行爬網并有選擇地審核爬網的內容來執行掃描。為此，請轉到Burp儀表板，然后單擊“新建掃描”按鈕。這將打開掃描啟動器，使您可以配置掃描的詳細信息。
• 掃描選定的項目。這使您可以對特定的HTTP請求執行僅審核掃描（不進行爬網）。為此，請在Burp中的任意位置選擇一個或多個請求，然后從上下文菜單中選擇“掃描”。這將打開掃描啟動器，使您可以配置掃描的詳細信息。
• 實時掃描。您可以使用實時掃描來自動掃描由其他Burp工具（如Proxy或Repeater工具）處理的請求。您可以精確配置要處理的請求，以及是否應掃描它們以識別內容或審核漏洞。為此，請轉到Burp儀表板，然后單擊“新建實時任務”按鈕。這將打開實時掃描啟動器，使您可以配置任務的詳細信息。
• 即時掃描。您還可以從上下文菜單啟動即時主動或被動掃描。這意味著您可以快速檢查漏洞，而無需打開掃描啟動器。您可以通過右鍵單擊請求來訪問這些選項。或者，您可以配置用于觸發即時掃描的熱鍵。

配置掃描

您可以并行啟動多個掃描，并且每個掃描都有其自己的配置選項，這些選項可以精確確定掃描的執行方式。有兩個關鍵的配置區域：

• 抓取選項。這些選項控制行為，例如最大鏈接深度，爬網程序如何針對速度與覆蓋范圍進行優化以及對爬網范圍的限制。
• 審核選項。這些選項控制行為，例如插入點的處理以及采用的檢測方法。從輕量級純被動分析到重量級侵入式掃描，這些選項對于控制將執行哪種類型的審核活動非常重要。

監控掃描活動

您可以通過多種方式監視掃描的進度和結果：

• Burp儀表板顯示有關每個任務進度的指標，問題活動日志顯示所有掃描任務報告的問題。
• 您可以打開單個掃描的任務詳細信息窗口，以僅查看該掃描的問題活動日志，以及適用任務的審核項目的詳細視圖。
• 該目標站點地圖顯示的所有內容，并已確定，由域和URL組織問題。

報告

您可以使用Burp Scanner 生成HTML格式的問題報告。您還可以采用適合于導入其他工具的XML格式導出問題。