如何使用Burp Suite Scanner进行安全测试

 1.运行BurpSuite。 直接点击jar运行：

2. 设置代理：

BurpSuite配置：

进入proxy -> options，IP 设置（扫描burpSuite本机浏览器使用127.0.0.1，扫描远程浏览器设置成burpSuite这台机器的ip地址）.

intercept设置为off

浏览器设置（chrome为例）：进入浏览器设置，按下列步骤进行（如果是本机用127.0.0.1）。

3. 录制脚本：

打开浏览器，进入测试的站点，在target/proxy查看是否获取到请求信息。（如果需要证书或者安全警告，继续进去就好，或者安装证书），按项目需要测试完成所有流程。

URL加到Target scope:

查看Scope：

4. 保存脚本，扫描脚本：

保存：左上角，点击Burp -> Save state.

开始扫描：选中你录制的测试站点，右键点击Actively scan this host.

查看扫描进度：

5. 生成报告：

选中右边issues窗口的所有项，右键点击Report selected issues。

打开报告开始分析：

PS：API 扫描（请开启postman，并且打开浏览器同步功能），其他步骤和web一致.