利用Burp suit扫描漏洞

一、开始准备
1.1burp是利用本地代理抓取所传送的数据包的,所以我们要设置浏览器的代理。打开Firefox浏览器,在地址栏输入http://192.168.1.3/,回车进行访问。单击“选项”。如图1所示

                               图1

1.2切换到“高级”选项卡,单击“网络”->单击“设置”。在代理服务器下,勾选“手动配置代理”,地址设置为127.0.0.1,端口为8080,单击“确定”,如图2所示

                        图2

1.4双击Burp suite扫描器下的BurpLoader.jar,打开burp,切换到Proxy下的Options查看代理是否一致,可以看到Burp和浏览器的代理是一致的。如图3所示

                                 图3

1.5下面开始抓包,在浏览器刷新一下当前页面,可以看到浏览器一直在转,在Burp中,切换到Proxy下的Intercept,可以看到相关数据,说明我们已经抓到包了。如图4所示

                                图4

1.6单击右键,选择“Send to Spider”,开始爬取网站。如图5所示

                                 图5

1.7单击“Yes”。如图6所示

                                图6

1.8在Spider下的Control,我们可以看到当前爬取的状态为“Spider is Runing”。如图7所示

                                 图7

1.9在爬取的过程中可能会弹出如下界面,单击“Ignore from”。遇到类似的界面都进行同样的操作。如图8所示

                                图8

1.10一直单击Proxy–>Intercept下的Forward按钮,直到按钮变为灰色。切换到Target下的Site Map,可以这里看到刚才的网址,此外,还有该网站的Issues及其对应的Advisory等相关信息。如图9所示

                               图9

1.11右键http://192.168.1.3,选择主动扫描“Actively scan this host”。如图10所示

                                图10

1.12默认,单击“Next”。如图11所示

                               图11

1.13单击“OK”。如图12所示

                                   图12

1.14我们可以在Scanner下的Scan queue中看到扫描的进度。如图13所示

                                图13

1.15可以在Target下的Site map中看到扫描出来的结果,可以看到扫描出来的Issues中有跨站脚本攻击和明文密码传输两个严重漏洞。注意,需要等待一段时间才能得到扫描结果,所以请耐心等待。如图14所示

                                  图14

利用Burp suit扫描漏洞相关推荐

  1. kali:Nessus扫描漏洞并用msf利用攻击xp系统

    Nessus扫描漏洞 1.启动nessus服务 /bin/systemctl start nessusd.service 2.在浏览器打开https://192.168.50.128:8834/,登陆 ...

  2. web安全最亲密的战友Burp Suite—网络攻防常用工具介绍--burp suit工具初体验一

    本文是我的免费专栏<网络攻防常用工具介绍>的第一篇文章 磨刀不误砍柴工! 在介绍攻防技术时,突然意识基础工具的使用很容易会被忽略,但是对不熟悉的同学来说,这将会极大影响该领域的学习. 所以 ...

  3. 常见的安全扫描漏洞的工具、漏洞分类及处理

    一.扫描网站漏洞是要用专业的扫描工具,下面就是介绍几种工具 Nikto 这是一个开源的Web服务器扫描程序,它可以对Web服务器的多种项目进行全面的测试.其扫描项目和插件经常更新并且可以自动更新.Ni ...

  4. 蜜罐中利用jsonp跨域漏洞和xss漏洞的分析

    一.前言 我们在打红队的时候,经常会碰到蜜罐,而更有一些"主动防御"的蜜罐中利用到了一些网站的跨域漏洞和xss,对此进行简单分析. 二.蜜罐的概念 蜜罐主要是通过布置诱饵,诱使攻击 ...

  5. php缓存注入,利用Thinkphp 5缓存漏洞实现前台Getshell

    原标题:利用Thinkphp 5缓存漏洞实现前台Getshell *本文原创作者:WindWing,属于FreeBuf原创奖励计划,禁止转载 0×00 背景 网站为了实现加速访问,会将用户访问过的页面 ...

  6. 【文件包含漏洞-03】文件包含漏洞的利用及如何利用本地文件包含漏洞GetShell

    文件包含漏洞的利用 读取敏感文件 我们可以利用文件包含漏洞读取任意文件,读取文件的时候有利用条件 目标主机文件存在(目标文件的路径.绝对路径.相对路径) 具有文件可读权限 提交参数http://loc ...

  7. Fortofy扫描漏洞解决方案

    Fortofy扫描漏洞解决方案: Log Forging漏洞: 数据从一个不可信赖的数据源进入应用程序. 在这种情况下,数据经由CreditCompanyController.java 的第 53行进 ...

  8. 使用 Metasploit 利用 OpenSSH 用户枚举漏洞 (CVE-2018-15473, CVE-2016-6210, CVE-1999-0502)

    使用 Metasploit 利用 OpenSSH 用户枚举漏洞 (CVE-2018-15473, CVE-2016-6210, CVE-1999-0502) 警告 请勿将本文提到的任何技术用于非法用途 ...

  9. 利用永恒之蓝漏洞+修复方法(MS17-010)

    文章目录 利用永恒之蓝漏洞+修复方法(MS17-010) 1.环境 2.信息收集 3.使用MSF的永恒之蓝模块 4.使用ms17_010模块,对靶机进行扫描 5.1使用ms17_010模块,对靶机进行 ...

最新文章

  1. 图灵访谈:柳泽大辅谈如何想出好创意
  2. Supervised Descent Method and its Applications to Face Alignment
  3. 的使用go_使用 Go 开发 Prometheus Exporter
  4. 小学生计算机辅助教学系统--练习加,减,乘,除法
  5. javascript知识点总结----Function定义
  6. Android笔记 方向传感器
  7. linux java weblogic,Linux java 安装问题
  8. html 选中变颜色变化,如何防止HTML中的选项中的颜色变化以及选中的元素在html中被选中并失去焦点?...
  9. 秋招开始,求职别慌!C 认证了解一下!
  10. Stanford机器学习---第三讲. 逻辑回归和过拟合问题的解决 logistic Regression Regularization
  11. 【三维路径规划】基于matlab A_star算法无人机三维路径规划【含Matlab源码 1387期】
  12. “RFID射频识别技术”简介
  13. 图片识别转公式,GitHub 又一 LaTeX 神器面世!
  14. 就让这大雨全都落下 - 容祖儿
  15. 工程师的基本功是什么?听听美团技术大咖怎么说
  16. objective-c delegate
  17. Presto中broadcast join和partition join执行计划的处理过程
  18. 电商生鲜网站开发(三)——后台开发:商品分类模块-Redis/Swagger/统一身份校验/IDEA技巧
  19. 三网合一我们该做些什么?
  20. eclipse导入外部项目,package报错,显示红叉叉

热门文章

  1. 建立新工作簿就是建立新的计算机磁盘文件,新大学计算机基础选择题题库19.xls...
  2. 怎么升级linux的内核版本,升级linux内核版本
  3. 3.Visio画图后,粘贴到word白边太宽?
  4. 如何在线制作QQ微信表情包
  5. 计算机显示屏无法显示,电脑显示器屏幕不显示了怎么办
  6. c语言空中升级协议,物联网模块ESP8266-OTA空中升级体验固件及主源码
  7. C语言—选择结构总结
  8. 加密的PDF如何打印?
  9. PAT 乙级 1032 挖掘机技术哪家强 (20分)
  10. 疫情加速百度人脸识别变革:戴口罩也能准确识别,迅速上线