帮助中心 >> 文档首页 >> 桌面版本 >> 扫描Web网站 >> 启动扫描

本页适用于专业版

扫描启动器


您可以通过Burp 控制台(Burp Dashboard)上的新的扫描(New scan)按钮或是 Burp 中出现的菜单中的Scan选项来启动扫描。利用这些方法可打开扫描启动窗口,然后您可以使用它配置扫描中的各种详细参数。

扫描细节


扫描启动界面的详细的扫描信息(Scan details)部分允许您选择扫描类型,配置要扫描的内容等等信息。

扫描类型

您可以选择以下扫描类型:

  • 抓取并审计(Crawl and audit) 该选项将从一个或多个URL开始进行抓取,然后进行审计并查找发现漏洞。
  • 仅抓取(Crawl) 该选项将从一个或多个URL开始进行抓取,但是不进行审计工作。
  • 审计所选项目(Audit selected items) 该选项仅在通过在 Burp 中选择一个或多个请求/响应并在上下文菜单中选择扫描(Scan)选项来启动扫描器时才可用。

根据所选的扫描类型,扫描启动器将显示扫描范围或要扫描的各个项目的选项。

需要扫描的URL

当选择抓取并审计(Crawl and audit)仅抓取(Crawl)这二者之一的扫描类型时。您可以配置一个或多个URL,Burp将从这些URL开始进行抓取。

默认情况下,爬虫的范围将限制在截断到最终文件夹(如果有的话)的已配置URL。例如,如果您指定起始网址为https://example.org/myapp/welcome.php,那么爬虫将从此网址开始,并将在路径限制为https://example.org/myapp/之内。

您可以点击详细范围配置(Detailed scope configuration)来对爬虫进行进一步的配置,例如设置不同抓取范围。您可以使用URL前缀或是自定义的匹配规则来定义爬虫的范围,如Burp的目标范围。无论如何,您需要指定至少一个要扫描的URL,因为这些是爬虫的起点,要扫描的URL必须在定义的范围内。

需要扫描的项目

当选择审计所选项目(Audit selected items)扫描类型时。Burp 将列出所选项目的URL。如果同一个URL有多个不同参数的请求,则这一个URL将多次出现。

如果您要扫描大量项目,则可以合并所选项目以提高扫描效率。单击合并项目(Consolidate items)后,Burp将显示一个向导,您可以根据需求选择是否对单个项目启用对应的功能:

  • 重复的项目(URL和参数名称相同的项目)
  • 超出范围的项目(针对于当前的范围而言)
  • 没有参数的项目
  • 具有特定文件扩展名的项目

对于每个项目,Burp 将显示受影响的项目的数量。如果因为任何选项导致没有项目列出或是所有项目被删除,则此选项将不可用。

然后,合并向导将显示将要扫描的项目的完整列表。您可以双击列表中的任何项目以查看完整的请求和响应。您可以手动删除任何您不想扫描的项目。

配置扫描


扫描启动器的扫描配置(Scan configuration)部分允许您选择配置以控制扫描的执行方式。

您可以选择多个配置,然后依次应用这些配置以确定用于扫描的最终配置。您可以首先应用常规配置(例如,您首选的常规扫描设置),然后是更具体的配置(例如,某些对特定应用程序有用的特定选项)。如果未选择任何配置,则将使用Burp Scanner的默认设置。

您可以动态创建新配置,或从配置库中选择现有配置,或从配置文件导入。

应用登陆配置


扫描启动器的应用程序登陆凭据(Application login)部分允许您为 Burp 指定用于登录的帐户凭据。爬虫将使用这些凭据来发现登录后的需要进行身份验证的内容。爬虫还将尝试自行注册帐户,并使用新注册的账户的凭据尝试抓取。

当选择审计所选项目(Audit selected items)扫描类型时,此部分不可用,因为任何爬虫程序都不会执行。

资源池配置


扫描启动器的资源池(Resource pool)部分允许您指定运行扫描任务的资源池。资源池用于管理跨多个任务的系统资源的使用情况。您可以为每个资源池配置不同的设置,以确定最大并发请求数和请求之间的限制。

results matching ""

    No results matching ""