Burp安全扫描Web应用

一、浏览器设置代理

如下图所示,点击火狐浏览器的“扩展和主题”,搜索“代理”。

如下图所示,选择搜索到的第一个代理(选择任何一个都可以)。

 如上图所示,第一个点击后,进入如下页面,点击“添加到Firfox”按钮,并依次点击“添加(A)”、“好的(O)”。

 

该插件添加好后,如下图所示,设置该代理插件权限。

如下图所示,点击该代理,进入代理启用、停用、设置页面。

 如下图截图所示,依次点击“选项”、“Proxies”、“添加”(填写如下内容),点击“save”按钮,则新代理新增成功。

 如下截图所示,新代理新增成功后,再次进来,选中或选中“Disable”来启用新代理或停用新代理。

二、Burp注册

 如下图所示,在burp注册机所在目录,打开cmd黑窗口,输入 java -jar burp-loader-keygen-2_1_07.jar注意,burp需要jdk1.8及以上版本】。

 具体操作过程见:Burp注册-CSDN博客

安装包下载见:https://download.csdn.net/download/XiaoXiao_RenHe/89550346

三、Burp设置

1、Burp设置中文显示

 2、Burp设置代理

四、Burp抓包(要扫描安全的功能)

启用浏览器的代理后,启用Burp的代理后,且启用Burp的“拦截请求”功能后,确保当前浏览器只访问待测试的应用程序,浏览器上一操作,就会被Burp拦截,我们为了抓包,直接点击“发送”按钮(浏览器上操作一步,可能要点击多次“发送”按钮)。

如下图所示,我们切换到“HTTP历史记录”页签,Ctrl+A全选刚才抓到的包,然后右击,选择“扫描”。

如下图所示,点击“整合物品”,可以过滤掉无需扫描的链接,点击“OK”后,进行安全扫描。

五、Burp安全扫描

如下图所示,加入扫描任务后,就等待扫描结束(可能时间比较长)【注意此种扫描方式用于测试环境,因为扫描时会进行攻击尝试,会给测试环境添加好多测试数据】

注意:感觉具体的安全测试时,可以Burp抓包后,右击选择“扫描”,进行该url的安全测试。

六、Burp安全问题查看及解决建议

 如下图所示,点击“顾问”页签,可以查看安全问题描述、该安全问题示例、建议解决方法、该安全问题分类。

七、Burp新扫描&新实时任务

Burp新建扫描和新建实时任务如下图所示,浏览器启用了代理、Burp配置了代理后,“新扫描”:Burp配置url及应用注册后,默认自动扫描url,选择“爬取和诊断”时:收集自动扫描url的请求及响应,并进行安全测试(如sql注入、XSS等);选择“爬取”时:仅仅收集自动扫描url的请求及响应。

“新实时任务”,为“实时诊断”时:分为主动测试和被动测试,主动测试Burp会将浏览器操作产生的请求及响应进行安全测试(如sql注入、XSS等,会操作系统数据,所以一般用于测试环境);被动测试:Burp会将浏览器操作产生的请求及响应进行检查,是否存在静态漏洞问题(不影响系统,可以用于生产环境安全测试);注意一般主动测试、被动测试都应该测试。为“实时被动爬取”时:Burp会将浏览器操作产生的请求及响应记录到“目标”页签的“网站地图”中。

“新实时任务”的“主动扫描通过Proxy的所有范围内流量”默认添加后,不知道为啥没用)。

 其中,“应用注册”如下图所示(记录了系统登录用户名密码后,不知道使用时为啥没作用)。

 注意:其实上面的都是使用默认设置,可以进行相应调整。

 如上图所示,点击新增“审计”后,进入安全测试配置页面,如下图所示,可以区分主动测试、被动测试。

对于新建的默认“新扫描”或“新实时任务”,可以查看扫描设定(安全测试项或爬取内容项),如下图所示。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/379178.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

CT金属伪影去除的去噪扩散概率模型| 文献速递-基于深度学习的多模态数据分析与生存分析

Title 题目 A denoising diffusion probabilistic model for metal artifact reduction in CT CT金属伪影去除的去噪扩散概率模型 01 文献速递介绍 CT图像中的金属伪影是在CT扫描视野内存在金属物体(如牙科填充物、骨科假体、支架、手术器械等)时出…

爬虫(一)——爬取快手无水印视频

前言 最近对爬虫比较感兴趣,于是浅浅学习了一些关于爬虫的知识。爬虫可以实现很多功能,非常有意思,在这里也分享给大家。由于爬虫能实现的功能太多,而且具体的实现方式也有所不同,所以这里开辟了一个新的系列——爬虫…

破解反爬虫策略 /_guard/auto.js(二)实战

这次我们用上篇文章讲到的方法来真正破解一下反爬虫策略,这两个案例是两个不同的网站,一个用的是 /_guard/auto.js,另一个用的是/_guard/delay_jump.js。经过解析发现这两个网站用的反爬虫策略基本是一模一样,只不过在js混淆和生成…

桥接器设计模式例题

笔有大、中、小三种型号,纸有A4、8K、16K三种型号,颜料有红、蓝、绿三种,请采用桥接器设计模型进行系统设计,能够使用不同型号的笔在不同型号的纸上利用不同颜色的颜料进行绘画。 下面这段代码展示了一个简单的桥接模式(桥接模式)…

Vue--Router(路由)

目录 一 Router(路由) 1.作用 2.实现步骤 3.注意 一 Router(路由) 1.作用 Router又叫做路由,简单来说,就是用来实现vue的页面之间跳转的。 我们都知道,使用vue必然会涉及到很多个组件,也就是页面,而页面之间肯定需…

小程序-模板与配置

一、WXML模板语法 1.数据绑定 2.事件绑定 什么是事件 小程序中常用的事件 事件对象的属性列表 target和currentTarget的区别 bindtap的语法格式 在事件处理函数中为data中的数据赋值 3.事件传参与数据同步 事件传参 (以下为错误示例) 以上两者的…

【通信协议-RTCM】MSM语句(1) - 多信号GNSS观测数据消息格式

注释: RTCM响应消息1020为GLONASS星历信息,暂不介绍,前公司暂未研发RTCM消息类型版本的DR/RTK模块,DR/RTK模块仅NMEA消息类型使用 注释: 公司使用的多信号语句类型为MSM4&MSM7,也应该是运用最广泛的语句…

算法笔记——LCR

一.LCR 152. 验证二叉搜索树的后序遍历序列 题目描述: 给你一个二叉搜索树的后续遍历序列,让你判断该序列是否合法。 解题思路: 根据二叉搜索树的特性,二叉树搜索的每一个结点,大于左子树,小于右子树。…

数据编织 VS 数据仓库 VS 数据湖

目录 1. 什么是数据编织?2. 数据编织的工作原理3. 代码示例4. 数据编织的优势5. 应用场景6. 数据编织 vs 数据仓库6.1 数据存储方式6.2 数据更新和实时性6.3 灵活性和可扩展性6.4 查询性能6.5 数据治理和一致性6.6 适用场景6.7 代码示例比较 7. 数据编织 vs 数据湖7.1 数据存储…

1.厦门面试

1.Vue的生命周期阶段 vue生命周期分为四个阶段 第一阶段(创建阶段):beforeCreate,created 第二阶段(挂载阶段):beforeMount(render),mounted 第三阶段&#…

RT-DETR+Flask实现目标检测推理案例

今天,带大家利用RT-DETR(我们可以换成任意一个模型)Flask来实现一个目标检测平台小案例,其实现效果如下: 目标检测案例 这个案例很简单,就是让我们上传一张图像,随后选择一下置信度,…

ARM体系结构和接口技术(六)KEY按键实验① 按键轮询检测

文章目录 一、按键轮询(一)分析按键的电路连接1. 按键原理图2. 按键消抖 二、分析芯片手册(一) GPIO章节(二)RCC章节 三、代码(一)key.c(二)key.h 一、按键轮…

Python 魔法方法小结

目录 引言 🌟 实例一:__init__构造方法 🌟 实例二:__str__和__repr__方法 🌟 实例三:__add__运算符重载 🌟 实例四:__len__方法 🌟 实例五:__getitem__…

从人工巡检到智能防控:智慧油气田安全生产的新视角

一、背景需求 随着科技的飞速发展,视频监控技术已成为各行各业保障安全生产、提升管理效率的重要手段。特别是在油气田这一特殊领域,由于其工作环境复杂、安全风险高,传统的监控方式已难以满足实际需求。因此,基于视频监控AI智能…

C#绘制阻抗圆图初步

阻抗圆图,或者叫史密斯图,是无线电设计方面用的; 基本的阻抗圆图如下, 下面尝试用C#能不能画一下; 先在网上找一个画坐标的C#类,它的效果如下; 自己再增加一个函数,可以绘制中心在…

【嵌入式Linux】<总览> 网络编程(更新中)

文章目录 前言 一、网络知识概述 1. 网路结构分层 2. socket 3. IP地址 4. 端口号 5. 字节序 二、网络编程常用API 1. socket函数 2. bind函数 3. listen函数 4. accept函数 5. connect函数 6. read和recv函数 7. write和send函数 三、TCP编程 1. TCP介绍 2.…

Android-- 集成谷歌地图

引言 项目需求需要在谷歌地图: 地图展示,设备点聚合,设备站点,绘制点和区域等功能。 我只针对我涉及到的技术做一下总结,希望能帮到开始接触谷歌地图的伙伴们。 集成步骤 1、在项目的modle的build.gradle中添加依赖如…

WSL-Ubuntu20.04部署环境配置

1.更换Ubuntu软件仓库镜像源 为了在WSL上使用TensorRT进行推理加速,需要安装以下环境,下面将按以下顺序分别介绍安装、验证以及删除环境: #1.C环境配置 gcc、gdb、g #2.gpu环境 cuda、cudnn #3.Cmake环境 CMake #4.OpenCV环境 OpenCV #5.Ten…

在mybatis-plus中关于@insert注解自定义批处理sql导致其雪花算法失效而无法自动生成id的解决方法

受到这位作者的启发 > 原文在点这里 为了自己实现批量插入&#xff0c;我在mapper层使用insert注解写了一段自定义sql //自定义的批量插入方法 Insert("<script>" "insert into rpt_material_hour(id,sample_time,rounding_time,cur_month,machine_no…

Web3时代的教育技术革新:智能合约在学习管理中的应用

随着区块链技术的发展和普及&#xff0c;Web3时代正在为教育技术带来前所未有的革新和机遇。智能合约作为区块链技术的核心应用之一&#xff0c;不仅在金融和供应链管理等领域展示了其巨大的潜力&#xff0c;也在教育领域中逐渐探索和应用。本文将探讨智能合约在学习管理中的具…