接上次筆記(今天感覺好空虛啊,給老師找了一下午的資料,做書的排版,電腦試裝了很多文件格式轉換軟體,感覺電腦快要癱瘓了,到晚上就頭暈暈的)
今天主要做burpsuite的spider的功能區的學習筆記,
一、spider主要分兩個部分,乙個是control 另乙個是options,burpspider的功能其實主要是用在大型額系統測試,能過在短時間內完成體統結構的分析,先看的控制功能
1、control是由兩部分組成,狀態和控制域,其中狀態(spider status)能夠顯示當前的進度,傳輸情況,請求佇列,分別控制spider是否執行和佇列中的資料管理。
2、option由六部分組成
分別是抓取設定,抓取**設定,表單提交設定,應用登陸設定,蜘蛛引擎設定,請求訊息頭設定。
3、crawls settings(抓取設定)控制抓取網頁的內容方式
如下圖;從上到下依次是,檢查robots.txt檔案,檢查404應答,忽略內容為空的鏈結,爬取目錄下所有的檔案和目錄,對每乙個頁面傳送無引數的請求,最大連線深度,最大請求的url引數數目。
4、passive spidering(抓取**設定)
passively spider as you browse 表示爬取通過burp proxy,link depth to association with proxy requests 表示設定**的鏈結深度,預設為0 表示無限的深度。
5、fromsubmission(表單提交設定)
表單提交設定用來控制蜘蛛抓取過程中對於from表單的處理方式
individuate froms by (對表單域的處理內容做控制)
提交表單資料分三種,抓取時不提交表單;手動確認表單資料;使用預設的表單資料
抓取登陸頁面的處理方式,處理方式與,不提交登陸資訊,手動確認資訊,作為普通表單處理,自動提交登陸資訊(需要填寫賬戶登陸資訊)
7、spider engine(蜘蛛引擎設定)和request headers(訊息頭設定)
蜘蛛抓取包括執行緒數,網路失敗重試次數,重試暫停間隙,http訊息頭設定用來設定請求的訊息頭自定義,
二、這裡burp scanner部分不再做詳細說明
1、使用burp scanner之前需要配置burpproxy**,還要在burp target站點地圖中儲存需要掃瞄的域和url模組路徑。
三、brup intruder功能區
1、intruder是自動化的測試工具,主要包括了intrude的使用場景,操作方式,payload型別與處理,payload位置和攻擊型別,intruder的攻擊分析報告。
在滲透測試中intruder在原始資料基礎上,通過對請求資料引數修改,獲得不同的應答的請求,每次請求中攜帶乙個或者多個有效的攻擊載荷(payload)在不同的位置進行攻擊重放。通過應答資料比對來分析學要的特徵資料。
Brup Suite 滲透測試筆記(七)
繼續接上次筆記 1 burp intruder的payload型別的子模組 character blocks 使用一種給出的輸入字元,根據指定的設定產生指定大小的字元塊,表現形式為生成指定長度的字串,通常使用了邊界測試或者緩衝區溢位。base string是指設定原始字串,min length是指p...
安全滲透測試筆記 前言
安全滲透測試是測試中比較難入門的測試,要求比較高!我在寫這篇筆記前,已經掌握了測試相關的知識,python的程式設計 效能測試 介面測試 shell命令 資料庫等知識!第一部分 滲透測試基礎 第二部分 滲透測試中級 第三部分 滲透測試高階 以上部分,具體章節在以後的學習中進行補充,如果文中有描寫不當...
Metasploit滲透測試筆記(一)
usermap script是samba協議的乙個漏洞,id為cev 2007 2447,屬於遠端命令注入漏洞,主要影響samba的3.020到3.0.25rc3版本。這個bug最初是針對匿名 進行報告的到samrchangepassword ms rpc功能組合中與 使用者名稱對映指令碼 smb....