帮助中心 >> 文档首页 >> 桌面版本 >> 扫描Web网站 >> 启动扫描
本页适用于专业版
扫描启动器
您可以通过Burp 控制台(Burp Dashboard)
上的新的扫描(New scan)
按钮或是 Burp 中出现的菜单中的Scan
选项来启动扫描。利用这些方法可打开扫描启动窗口,然后您可以使用它配置扫描中的各种详细参数。
扫描细节
扫描启动界面的详细的扫描信息(Scan details)
部分允许您选择扫描类型,配置要扫描的内容等等信息。
扫描类型
您可以选择以下扫描类型:
- 抓取并审计(Crawl and audit) 该选项将从一个或多个URL开始进行抓取,然后进行审计并查找发现漏洞。
- 仅抓取(Crawl) 该选项将从一个或多个URL开始进行抓取,但是不进行审计工作。
- 审计所选项目(Audit selected items) 该选项仅在通过在 Burp 中选择一个或多个请求/响应并在上下文菜单中选择
扫描(Scan)
选项来启动扫描器时才可用。
根据所选的扫描类型,扫描启动器将显示扫描范围或要扫描的各个项目的选项。
需要扫描的URL
当选择抓取并审计(Crawl and audit)
或仅抓取(Crawl)
这二者之一的扫描类型时。您可以配置一个或多个URL,Burp将从这些URL开始进行抓取。
默认情况下,爬虫的范围将限制在截断到最终文件夹(如果有的话)的已配置URL。例如,如果您指定起始网址为https://example.org/myapp/welcome.php
,那么爬虫将从此网址开始,并将在路径限制为https://example.org/myapp/
之内。
您可以点击详细范围配置(Detailed scope configuration)
来对爬虫进行进一步的配置,例如设置不同抓取范围。您可以使用URL前缀或是自定义的匹配规则来定义爬虫的范围,如Burp的目标范围。无论如何,您需要指定至少一个要扫描的URL,因为这些是爬虫的起点,要扫描的URL必须在定义的范围内。
需要扫描的项目
当选择审计所选项目(Audit selected items)
扫描类型时。Burp 将列出所选项目的URL。如果同一个URL有多个不同参数的请求,则这一个URL将多次出现。
如果您要扫描大量项目,则可以合并所选项目以提高扫描效率。单击合并项目(Consolidate items)
后,Burp将显示一个向导,您可以根据需求选择是否对单个项目启用对应的功能:
- 重复的项目(URL和参数名称相同的项目)
- 超出范围的项目(针对于当前的范围而言)
- 没有参数的项目
- 具有特定文件扩展名的项目
对于每个项目,Burp 将显示受影响的项目的数量。如果因为任何选项导致没有项目列出或是所有项目被删除,则此选项将不可用。
然后,合并向导将显示将要扫描的项目的完整列表。您可以双击列表中的任何项目以查看完整的请求和响应。您可以手动删除任何您不想扫描的项目。
配置扫描
扫描启动器的扫描配置(Scan configuration)
部分允许您选择配置以控制扫描的执行方式。
您可以选择多个配置,然后依次应用这些配置以确定用于扫描的最终配置。您可以首先应用常规配置(例如,您首选的常规扫描设置),然后是更具体的配置(例如,某些对特定应用程序有用的特定选项)。如果未选择任何配置,则将使用Burp Scanner的默认设置。
您可以动态创建新配置,或从配置库中选择现有配置,或从配置文件导入。
应用登陆配置
扫描启动器的应用程序登陆凭据(Application login)
部分允许您为 Burp 指定用于登录的帐户凭据。爬虫将使用这些凭据来发现登录后的需要进行身份验证的内容。爬虫还将尝试自行注册帐户,并使用新注册的账户的凭据尝试抓取。
当选择审计所选项目(Audit selected items)
扫描类型时,此部分不可用,因为任何爬虫程序都不会执行。
资源池配置
扫描启动器的资源池(Resource pool)
部分允许您指定运行扫描任务的资源池。资源池用于管理跨多个任务的系统资源的使用情况。您可以为每个资源池配置不同的设置,以确定最大并发请求数和请求之间的限制。