如何使用Burp Suite Scanner进行安全测试
1.运行BurpSuite。 直接点击jar运行:
2. 设置代理:
BurpSuite配置:
进入proxy -> options,IP 设置(扫描burpSuite本机浏览器使用127.0.0.1,扫描远程浏览器设置成burpSuite这台机器的ip地址).
intercept设置为off
浏览器设置(chrome为例):进入浏览器设置,按下列步骤进行(如果是本机用127.0.0.1)。
3. 录制脚本:
打开浏览器,进入测试的站点,在target/proxy查看是否获取到请求信息。(如果需要证书或者安全警告,继续进去就好,或者安装证书),按项目需要测试完成所有流程。
URL加到Target scope:
查看Scope:
4. 保存脚本,扫描脚本:
保存:左上角,点击Burp -> Save state.
开始扫描:选中你录制的测试站点,右键点击Actively scan this host.
查看扫描进度:
5. 生成报告:
选中右边issues窗口的所有项,右键点击Report selected issues。
打开报告开始分析:
PS:API 扫描(请开启postman,并且打开浏览器同步功能),其他步骤和web一致.