帮助中心 >> 文档首页 >> 桌面版本 >> 扫描Web网站 >> 启动扫描

本页适用于专业版

扫描启动器

您可以通过Burp 控制台(Burp Dashboard)上的新的扫描(New scan)按钮或是 Burp 中出现的菜单中的Scan选项来启动扫描。利用这些方法可打开扫描启动窗口，然后您可以使用它配置扫描中的各种详细参数。

扫描细节

扫描启动界面的详细的扫描信息(Scan details)部分允许您选择扫描类型，配置要扫描的内容等等信息。

扫描类型

您可以选择以下扫描类型：

• 抓取并审计(Crawl and audit) 该选项将从一个或多个URL开始进行抓取，然后进行审计并查找发现漏洞。
• 仅抓取(Crawl) 该选项将从一个或多个URL开始进行抓取，但是不进行审计工作。
• 审计所选项目(Audit selected items) 该选项仅在通过在 Burp 中选择一个或多个请求/响应并在上下文菜单中选择扫描(Scan)选项来启动扫描器时才可用。

根据所选的扫描类型，扫描启动器将显示扫描范围或要扫描的各个项目的选项。

需要扫描的URL

当选择抓取并审计(Crawl and audit)或仅抓取(Crawl)这二者之一的扫描类型时。您可以配置一个或多个URL，Burp将从这些URL开始进行抓取。

默认情况下，爬虫的范围将限制在截断到最终文件夹（如果有的话）的已配置URL。例如，如果您指定起始网址为https://example.org/myapp/welcome.php，那么爬虫将从此网址开始，并将在路径限制为https://example.org/myapp/之内。

您可以点击详细范围配置(Detailed scope configuration)来对爬虫进行进一步的配置，例如设置不同抓取范围。您可以使用URL前缀或是自定义的匹配规则来定义爬虫的范围，如Burp的目标范围。无论如何，您需要指定至少一个要扫描的URL，因为这些是爬虫的起点，要扫描的URL必须在定义的范围内。

需要扫描的项目

当选择审计所选项目(Audit selected items)扫描类型时。Burp 将列出所选项目的URL。如果同一个URL有多个不同参数的请求，则这一个URL将多次出现。

如果您要扫描大量项目，则可以合并所选项目以提高扫描效率。单击合并项目(Consolidate items)后，Burp将显示一个向导，您可以根据需求选择是否对单个项目启用对应的功能：

• 重复的项目（URL和参数名称相同的项目）
• 超出范围的项目（针对于当前的范围而言）
• 没有参数的项目
• 具有特定文件扩展名的项目

对于每个项目，Burp 将显示受影响的项目的数量。如果因为任何选项导致没有项目列出或是所有项目被删除，则此选项将不可用。

然后，合并向导将显示将要扫描的项目的完整列表。您可以双击列表中的任何项目以查看完整的请求和响应。您可以手动删除任何您不想扫描的项目。

配置扫描

扫描启动器的扫描配置(Scan configuration)部分允许您选择配置以控制扫描的执行方式。

您可以选择多个配置，然后依次应用这些配置以确定用于扫描的最终配置。您可以首先应用常规配置（例如，您首选的常规扫描设置），然后是更具体的配置（例如，某些对特定应用程序有用的特定选项）。如果未选择任何配置，则将使用Burp Scanner的默认设置。

您可以动态创建新配置，或从配置库中选择现有配置，或从配置文件导入。

应用登陆配置

扫描启动器的应用程序登陆凭据(Application login)部分允许您为 Burp 指定用于登录的帐户凭据。爬虫将使用这些凭据来发现登录后的需要进行身份验证的内容。爬虫还将尝试自行注册帐户，并使用新注册的账户的凭据尝试抓取。

当选择审计所选项目(Audit selected items)扫描类型时，此部分不可用，因为任何爬虫程序都不会执行。

资源池配置

扫描启动器的资源池(Resource pool)部分允许您指定运行扫描任务的资源池。资源池用于管理跨多个任务的系统资源的使用情况。您可以为每个资源池配置不同的设置，以确定最大并发请求数和请求之间的限制。