全屏网站宽度,wordpress上传apk,公司网站建设,重庆seo团队声明#xff1a;学习视频来自b站up主 泷羽sec#xff0c;如涉及侵权马上删除文章 感谢泷羽sec 团队的教学 视频地址#xff1a;burp功能介绍#xff08;1#xff09;_哔哩哔哩_bilibili 本文介绍burp的主动扫描和被动扫描功能。
一、主动扫描
工作原理#xff1a;
主动… 声明学习视频来自b站up主 泷羽sec如涉及侵权马上删除文章 感谢泷羽sec 团队的教学 视频地址burp功能介绍1_哔哩哔哩_bilibili 本文介绍burp的主动扫描和被动扫描功能。
一、主动扫描
工作原理
主动扫描是通过模拟攻击者的行为主动向目标系统发起请求并尝试触发漏洞。扫描器发送一系列精心设计的请求如 SQL 注入、XSS、命令注入等并分析目标服务器的响应判断是否存在漏洞或弱点。扫描工具通常会发送特定的恶意输入、修改请求参数、伪造请求等来验证目标系统是否能被恶意请求或数据引发问题。主动扫描会对目标应用发起定制化的攻击例如恶意 Payload、错误的请求并根据响应来判断漏洞的存在。例如通过提交特殊的字符或查询语句来检查是否存在 SQL 注入漏洞。扫描过程中目标应用会受到一定的压力和负载因此主动扫描可能会影响目标系统的正常运行或触发安全警报。
优点
全面性能够主动发起各种类型的攻击直接检测目标系统的漏洞。准确性能够通过实际的恶意请求和模拟攻击来验证漏洞的存在精确度较高。适用性强适用于识别已知漏洞如 SQL 注入、XSS、文件上传漏洞、命令注入等。
缺点
风险较高对目标系统发起攻击可能会对其造成影响甚至可能引起服务中断、数据泄露等问题。资源消耗由于主动发起请求可能会对目标系统产生较大的负载。容易被检测主动扫描会产生大量的异常请求目标应用或网络安全防护设备如 WAF、防火墙等可能会侦测到并做出反应。 1在仪表盘中点击新建扫描可以根据需求选择Web app scan或者API scan
Web App Scan 与 API Scan 的区别
区别Web app scanAPI scan目标对象主要扫描传统 Web 应用程序如 HTML 页面、表单、cookies、JavaScript 和其他前端页面交互。专门扫描 Web 应用中的 API 接口通常这些 API 使用 JSON 或 XML 格式进行数据交换处理请求与响应的数据。漏洞类型扫描涉及页面、用户交互和 Web 服务的漏洞。主要关注与 API 端点相关的安全漏洞如身份验证、授权、数据传输安全等。扫描方式通过模拟用户行为来进行扫描访问和交互页面元素。通过分析 API 端点及其请求和响应检查数据和接口安全性。 2选择扫描目标时可输入一个或多个URL这里使用Web app scan进行举例 3自定义扫描设定我们可以微调扫描的许多方面以适应不同的用例和目标站点 4 单击 “确定” 启动扫描。 burp suite开始对输入的 URL 进行爬虫。此时仪表板 中已添加一个新任务来表示此扫描。我们可以选择任务以查看有关其状态及其当前正在执行的操作的更多详细信息。 5点击转目标 站点地图展开目标URL的节点即可查看从扫描以来发现的所有内容 6扫描完成后将开始审核漏洞。我们可以在主面板中的 “问题活动” 选项卡中查看问题信息 7审核漏洞完成后要想生成漏洞报告可进行如下步骤
点击目标 站点地图右键单击扫描目标URL然后选择问题 该主机的问题报告。 8也可以在代理界面选择对应的URL进行主动扫描 二、被动扫描
工作原理
被动扫描是通过“监听”网络流量并分析从目标系统接收到的请求和响应来发现潜在的安全问题。与主动扫描不同被动扫描不会向目标系统发送额外的请求也不会触发应用的响应行为避免了额外的负担和风险。被动扫描工具通常通过抓取目标网站的 HTTP 请求和响应分析其中可能存在的漏洞、敏感信息泄露、未加密的敏感数据等。它们不会主动向目标发送任何恶意数据。在实际操作中被动扫描通常结合代理工具如 Burp Suite 的代理功能来工作当用户通过代理浏览网站时工具会记录和分析访问的网页内容。被动扫描主要聚焦于收集页面内容、分析 HTTP 头部信息、检测信息泄露、查找漏洞指示符例如已知漏洞的标识符而不是进行直接攻击。
优点
无风险由于不会主动发送攻击请求因此不会对目标系统产生影响或风险避免了对应用的压力。隐蔽性强不会触发安全设备如 IDS/IPS、WAF的警报不易被检测。节省资源对目标系统不会产生额外负载适合大规模或频繁的扫描任务。
缺点
局限性只能基于已有的流量数据进行分析因此无法主动发现潜在的漏洞。发现率较低由于不主动发送请求和攻击数据可能无法发现一些隐藏的漏洞或安全风险。依赖于流量只有在目标应用被用户访问时才能收集到相关的信息无法独立发现未访问的部分。
1被动扫描位于仪表盘中其可以对所有截取到流量进行实时诊断 2扫描到的问题可以在主面板中的 “问题活动” 选项卡中查看问题信息
