burpsuite中的active scan也可以做漏洞扫描 只是能力不太强---扫描一个站点有waf就给你屏蔽了，换个IP即可

Burp suite  自动扫描

1）先设置proxy-intercept-“Intercept is off”，此时在浏览器中访问目标网站，回到burpsuite

2）在target-Site Map的左边为访问的URL，按照网站的层级和深度，树形展示整个应用系统的结构和关联其他域的url情况；

3）右边显示的是某一个url被访问的明细列表，共访问哪些url，请求和应答内容分别是什么，都有着详实的记录；

4）基于左边的树形结构，选择某个分支，对指定的路径进行扫描和抓取；

 

此时，选择需要做安全扫描的站点，右击，在弹窗中点击 Activity scan this host   在弹窗中可以选择把 js,gif,jpg,png,css等文件过滤掉

 

确认后，在Scanner--scan queue中可以看到扫描的进度，并且展示出issues的级别，burpsuite默认有4种级别，High、Medium、Low、Information，并且用不同的颜色区分。

可以将测试报告导出，可以以html的形式导出，选择某个站点--issues–report issuesfor this host

 

可以设置需要导出的报告包含的issue的级别等信息。

 

打开报告可看到详细信息。（见附件）

 
————————————————
原文链接：https://blog.csdn.net/qq_32501663/article/details/90203244