Zi 字媒體

* 本文作者：pageuo，本文屬FreeBuf原創獎勵計劃，未經許可禁止轉載眾所周知，burpsuite是一款非常強大的滲透測試套件。其中包括但不限於各類滲透測試功能，搭配各類插件使用更是滲透測試中一款離不開的工作。除了商業化漏掃之外，burp suite也提供了一個掃描器的功能，但似乎國內並沒有step by step的一個教程，這裡給大家簡單的介紹下burp suite的漏掃功能，大牛請繞路，小白請進來。 測試站點：Burpsuite版本：1.7.12下面開始介紹如何適應Burp Suite的掃描器功能。1.保持抓包功能一直開啟。這裡應該不用贅述了，只要聽說過burpsuite的少年肯定知道如何開啟監聽功能。（如果需要教程，請移步） 2.單擊數據包區域，右鍵，選擇「Do an active scan（激活主動掃描）」這時「Scanner（掃描）」按鈕會亮起，開始進行掃描3.掃描功能介紹1）Issue activity問題清單這裡記錄了問題發生的順序，時間，問題類型，url地址等從截圖中我們能夠看到burpsuite提供的掃描功能能夠掃出以下幾個問題：反射型XSSFlash跨域策略SQL注入未加密通信跨域引用漏洞公開電子郵件地址2）Scan queue掃描隊列掃描隊列記錄了掃描主機、掃描狀態、問題數量、請求的次數的等掃描信息3）Living scanning在線掃描通過「Living scanning」頁簽可以設置掃描策略，即是否在監聽時發現站點就進行掃描，這裡默認的開關是關。4）問題列表這裡列出了burpsuite可以測試的的漏洞類型，包括注入、xss、命令執行等各類常見的web漏洞，看起來還是很全的5）options 設置對burpsuite的掃描進行設置4.對burpsuite的掃描結果進行驗證本次掃描一共掃出了8個問題，我們挑兩個進行驗證1）反射型xssBurpsuite給的掃描的具體內容如下：在請求選項卡中，我們能夠看到相關的響應值，以便進行測試我們查看響應的選項卡，查看響應情況，我們能夠看到，在頁面上確實彈出了一個提示框。 因此，這是一個get方式的XSS漏洞，使用瀏覽器測試： 2）SQL注入路徑 /listproducts.php查看burpsuite的掃描情況這裡burpsuite說他的payload是單引號，資料庫返回了一個報錯，我們應該查看相關的錯誤信息，確定到底是不是一個漏洞。Burpsuite認為，資料庫是mysql我們再點卡請求選項卡，可以看到單引號在傳參過程中因為報錯發生了中斷我們再點擊「響應」選項卡，看下高亮的代碼區關於資料庫報錯的內容 5.總結Burp Suite確確實實是一個滲透測試居家旅行必備的神器，但是在測試過程中也發現了有很多問題：1）同一站點，同一測試方法，不同次數的掃描的內容竟然不一樣。這個真是一個要命的問題，連進行個掃描還要看人品？2）要把監聽一直開著這個倒不算什麼要緊的問題，只是在測試的過程中一定要小心別把監聽和代理關掉3）照比成熟的商業化掃描器差距太大鑒於Burp Suite的定位，並不能指望能和AWVS、AppScan等成熟的商業化掃描器平分天下，但是Burp Suite的掃描結果並不能與前面兩位大俠同日而語。但是如果出門手頭沒有掃描器，或者是需要輕載掃描的時候，一個Burp Suite就夠了。參考來源Vulnerability Analysis in Web Application using Burp Scanner