Web漏洞扫描(三:Burp Suite的基本操作)
任务二、Burp Suite基础Proxy功能;
2.1、在Kali虚拟机中打开Burp Suite工具并设置,打开“Proxy”选项卡,选中“Options”子选项卡,单机“Add”按钮,增加一个监听代理,设置为127.0.0.1:8080;
2.2、进行浏览器代理设置,启动kali虚拟机中的浏览器,单击右上角的菜单按钮,选择首选项;
2.3、设置数据拦截功能;
2.3.1、在kali中打开intercept子选项卡,开启数据包拦截功能;
2.3.2、打开kali浏览器,在地址栏输入http;//192.168.43.96;
2.3.3、在Burp Suite中单击forward按钮,可以看到拦截的数据;
2.3.4、在kali中打开浏览器,在地址栏输入http;//192.168.43.96/dvwa
2.4、查看访问目标网站的拦截数据;
注:在Burp Suite中单击forward按钮,可以看到拦截的数据
任务三、Burp Suite Target功能
3.1、打开Site map选项卡;
注:启动Burp Suite,打开“Target”→”Site map”选项卡。
3.2、把指定网站设置目标范围;
注:根据图中的相关联网址,右击左边树形结构中的某个网址,在弹出的快捷菜单中选择Add to scope命令,即把某个网站设置到目标范围
3.3、Target Scope 目标域规则设置
注:Target Scope目标域规则设置,打开“Scope”子选项卡;
3.4、编辑包含规则或去除规则
注:点击Scope”子选项卡中的“Add”按钮,即可编辑包含规则或去除规则,具体设置对话框;
任务四、Burp Suite Spider功能
4.1、对于目标网站连接进行测试
注:打开Burp Suite,根据前面Target中的有关配置,选中要测试的页面链接,右击目标网站,选中“Spider this host”命令;
4.2、进行默认配置
注:对“Spider”选项卡下的“Options”子选项卡的有关选项取默认配置;
配置一:
配置二:
配置三:
4.3、查看检测到的数据信息
注:单击“Spider”选项卡中的“Control”标签,单击“Spider is running”按钮,下方显示已经请求数量,字节传输量,爬虫范围等信息;
任务五、Burp Suite Scanner功能
5.1、配置代理并配置被扫描域和路径
5.1.1、启动Burp Suite,正确配置Burp Proxy并设置浏览器代理,同时在“Target”选项卡的“Site map”子选项卡中配置好要扫描的域和URL模块路径,右击需要扫描的站点,选择快捷菜单中的“Actively Scan this host”命令;
5.1.2、打开主动扫描配置向导,选择是否移除有关的页面项
5.1.3、单击上图中的“next”按钮,继续对扫描项进行配置,将不需要扫描的网络移除,以提高扫描效率;
5.1.4、对攻击插入点进行配置;
5.1.5、进入“Scanner”选项卡的“Scan queue”子选项卡,查看当前扫描的进度;
5.2、打开主动扫描并进行配置;
5.2.1、配置主动扫描域与被动扫描;
5.2.2、在target选项卡的site map子选项卡中选择某个目录进行扫描,优化扫描选项,对选项进行设置,指定哪些类型的文件不在扫描范围内;
5.2.3、在 “Target”选项卡的“Site map”子选项卡中选中需要添加的网址,单击鼠标右键,在弹出的快捷菜单中选择“Add to Scope”命令,将给网址添加到作用域中,然后进行自动扫描;
5.2.4、进入“Scanner”选项卡的“Live scaning”子选项卡,在Live Active Scanning中选择“Use suite scope[defined in Target tab]”单选按钮,Brup Scanner将自动扫描经过Brup Proxy的交互信息;
5.2.5、查看扫描结果,选择“results”,可以查看此次扫描的结果;
任务六、Burp Suite Intruder爆破应用
6.1、Scanner测试及Web漏洞扫描
6.1.1、启动Burp Suite,并按照任务二的介绍完成代理设置;
6.1.2、用浏览器访问网站http;//192.168.43.96/dvwa,以渗透测试系统dvwa 为靶机站点;
6.1.3、单击上图中的“Brute Force”按钮,并单击Brup Suite的“Proxy”选项卡下的“Forward”按钮,输入登录账号及密码,假定已知道登录账号为admin,而密码需要爆破,因此随便输入一个密码;
6.1.4、单击login 按钮,并在Burp Suite中截取登录数据;
6.1.5、选中所有数据并在右键快捷菜单中选择“Send to Intruder”命令;
6.1.6、选择“Intruder”选项卡,并选择“Positions”;
6.1.7、对图中自动标记的变量进行爆破,单击右边的“Clear§”按钮,然后选中密码后面的123,在添加为爆破变量;
6.1.8、选择“Intruder”选项卡,并选择“Payloads”子选项卡,对爆破变量所需的密码文件进行配置;
6.1.9、设置完成后,单击Brup Suite中的“Intruder”菜单项,选择“Start attack”命令;
6.1.10、在爆破结果中,对密码文件中的密码进行逐个测试;
6.1.11、以admin为账号,password为口令进行登录验证;
Web漏洞扫描(三:Burp Suite的基本操作)相关推荐
- Web漏洞扫描(四:知识点及错误总结)
WVS软件: WVS(Web Vulnerability Scanner)是一个自动化的Web应用程序安全测试工具,它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和W ...
- Web 漏洞扫描工具 AppScan 和 AWVS 使用方式
Web 漏洞扫描工具 AppScan 和 AWVS 使用方式 文章目录 Web 漏洞扫描工具 AppScan 和 AWVS 使用方式 0x01 AppScan 基本操作 1.AppScan 简介 1. ...
- 10大Web漏洞扫描工具
Web scan tool 推荐10大Web漏洞扫描程序 Nikto 这是一个开源的Web服务器扫描程序,它可以对Web服务器的多种项目(包括3500个潜在的危险文件/CGI,以及超过900个服务器版 ...
- 【安全工具】全!十大Web漏洞扫描工具
十大Web漏洞扫描工具 Acunetix Web Vulnerability Scanner[( 简称AwVS ) AwVS是一款知名的Web网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行 ...
- 2019年WEB漏洞扫描工具和软件前十名推荐
这些工具都有助于发现漏洞,从而最大限度地提高测试人员的时间和效率.这些工具,2019年更新,也可用于寻找漏洞. 为何扫描? 这资源是什么? Web应用程序对黑客具有极大的吸引力,并且出于百万种不同的原 ...
- 自研分布式web漏洞扫描平台WDScanner
WDScanner 为了能在漏洞爆发后快速形成漏洞检测能力,同时能对网站或主机进行全面快速的安全检测,Tide安全团队(www.tidesec.net)开发了一套简单易用的分布式web漏洞检测系统WD ...
- Web漏洞扫描工具(批量脱壳、反序列化、CMS)
一.什么是Web漏洞扫描工具 即是指"扫描Web应用以查找安全漏洞(如跨站脚本,SQL注入,命令执行,目录遍历和不安全服务器配置)的自动化工具",其中许多可能是由不安全或不正确的编 ...
- 10、 WMAP Web漏洞扫描
一.Wmap简介 Wmap本身不是一个独立的漏洞扫描器,而是作为Metasploit的一个模块,结合web漏洞和web服务相关的模块协同工作,完成目标服务器的扫描.也就是说,如果我们 想要使用Wmap ...
- java web 漏洞扫描工具_java编写web漏洞扫描系列 一、GET/POST
今天是java编写漏洞扫描工具系列一,在整个系列中我将以案例驱动方式进行,从基本的请求,到常规漏洞扫描,Burp插件,调用SQLmap api,整合burp+sqlmap(Web平台),漏洞扫描平台( ...
最新文章
- 如何克隆到非空目录?
- MySQL用户管理、常用SQL语句、MySQL数据库备份恢复
- Java NIO之缓冲区
- Bech32编码 (1)产生背景
- 零基础入门 HTML 的 8 分钟极简教程
- bash删除文件中的空行
- 区块链相关问题 理解
- c纳秒级计时器_纳秒级性能计时器
- powerpoint(ppt) 的制作
- 怎样有效提高记忆力?
- Java根据信用卡号区分国际常用的五大信用卡卡种:VISA,Master,AE,DC,JCB.
- 《浦岛太郎》——太宰治
- 无限乱斗哪个服务器有,《LOL》国服无限乱斗什么时候出 国服2020无限乱斗上线时间...
- Azkaban停留在 Logging initialized using configuration in jar:file:/application/cloudera/parcels/XXXXXX
- Apache apollo 配置说明及用户名和密码管理
- error LNK2005解决方法
- qlabel文本改变信号_改变人类历史的17个方程,神奇!
- 红米note4x线刷miui9国际版开发版
- 幻影粒子系统 particleIllusion3
- 写给20岁左右的读者朋友