Burp Spider是Burpsuite的一个功能,用于映射Web应用程序。它可以通过自动化地浏览Web应用程序并记录所有可访问的内容和功能来帮助您了解Web应用程序的结构和功能。您可以使用Burp Spider来发现隐藏的目录,识别Web应用程序的功能和漏洞,并生成网站地图以帮助您更好地了解Web应用程序的结构。以下是使用Burp Spider的步骤:
- 打开Burpsuite并选择“Target”选项卡。
- 在“Target”选项卡中,单击“Site map”选项卡,然后单击“New site map entry”按钮。
- 在“New site map entry”对话框中,输入要映射的URL,并单击“Add”按钮。
- 选择“Spider”选项卡,然后单击“New scan”按钮。
- 在“New scan”对话框中,选择要扫描的URL,并选择要使用的扫描选项。
- 单击“Start scan”按钮开始扫描。
在扫描完成后,您可以查看生成的网站地图以了解Web应用程序的结构和功能。您还可以使用Burp Spider来发现隐藏的目录和漏洞。请注意,使用Burp Spider时需要小心,以免对目标Web应用程序造成不必要的负担或干扰。
前期准备
设置代理过滤器
设置过滤器之后,其他爬取到的网址则不会显示出来
访问目标网站:ttp://192.168.199.174/mutillidae/
设置目标域,否则要爬的内容就太多了,精准爬取目标范围以内的即可。
关闭代理,也叫拦截功能关闭。
这个是被动爬虫功能,默认是开启状态的。
爬取代理选项设置
被动爬取,如果你不希望访问的时候他来帮我们爬取的话就把它勾掉。
表单提交(需要填写信息或帐户密码的登录页面)
可以设置一个账户密码来提交,虽然是错误的,但是不用管,只是扫描站点而已。
主动爬虫和被动爬虫的区别
主动爬虫是模拟人来发出大量的数据包,勾勒出站点信息地图。
被动爬虫是一种 passively 监听网络流量的工具,它会记录网络流量中的数据包,并从中提取出有用的信息。被动爬虫的目的是为了分析网络流量,例如网络安全领域中的入侵检测系统就是一种被动爬虫。被动爬虫不会对网站造成负担,但是它需要在网络中监听流量,因此需要一定的技术和设备支持。
在实际情况下一般两个同事结合用。
请求头部这里可以修改头部内容
平时可以在target里把范围全部设好,spidr里一点启动就可以了
也可以边爬边看历史记录,看看有没有漏了哪个页面然后右键让它爬一下spider或者添加到scope
最后就是看爬虫状态
