burpsuite 工具功能强大,漏洞扫描是其一项重要功能。漏洞扫描的操作有以下几步:
1. 设置代理:上一篇文章有介绍,这里不再赘述;
2. 关闭拦截:在 Proxy 选项卡的 Intercept 子选项,关闭 Proxy interception;
3. 补充身份验证信息(如涉及):Spider 选项卡、Options 子选项,在 Application Login 选择 Automatically submit these credentials,输入用户名和密码。应用程序需要使用身份验证时会涉及该项。
4. 展开访问分支:在 Target 选项卡、Site Map 子选项,可以看到一条或多条访问历史。选择扫描目标,右键单击选择 Expand branch
5. 选择扫描目标: 在展开后的路径中找到待扫描位置,右键单击选择 Spider this host / branch,会出现弹框提示 “所选项目在当前的辅助范围之外,是否要修改范围以包含项目”,选择 Yes;