网络漏洞扫描工具有哪些 ddos在线攻击平台推荐( 二 )

站点地图汇总所有的信息BurpSuite已经收集到的有关申请。这包括：
所有这一切都通过代理服务器直接请求的资源。已推断出通过分析响应代理请求的任何物品（前提是你没有禁用被动Spider）。内容使用Spider或内容发现功能查找。由用户手动添加的任何项目，从其它工具的输出。
这样看起来site map是不是很乱，则可以右击add to scope，然后点击Filter勾选Show only in-scope items，此时你再回头看Site map就只有百度一个地址了，这里filter可以过滤一些参数，show all显示全部，hide隐藏所有，如果勾选了表示不过滤
选择之后就只剩下一个网址了
针对地址右击显示当前可以做的一些动作操作等功能。
选项二、Scope
这个主要是配合Site map做一些过滤的功能
已请求在SiteMap中的项目会显示为黑色。尚未被请求的项目显示为灰色
Proxy模块(代理模块)
一、简介
Proxy代理模块作为BurpSuite的核心功能，拦截HTTP/S的代理服务器，作为一个在浏览器和目标应用程序之间的中间人，允许你拦截，查看，修改在两个方向上的原始数据流。
Burp 代理允许你通过监视和操纵应用程序传输的关键参数和其他数据来查找和探索应用程序的漏洞。通过以恶意的方式修改浏览器的请求，Burp 代理可以用来进行攻击，如：SQL 注入，cookie 欺骗，提升权限，会话劫持，目录遍历，缓冲区溢出。拦截的传输可以被修改成原始文本，也可以是包含参数或者消息头的表格，也可以十六进制形式，甚至可以操纵二进制形式的数据。在 Burp 代理可以呈现出包含 HTML 或者图像数据的响应消息。
二、模块说明
1.Intercept
用于显示和修改HTTP请求和响应，通过你的浏览器和Web服务器之间。在BurpProxy的选项中，您可以配置拦截规则来确定请求是什么和响应被拦截(例如，范围内的项目，与特定文件扩展名，项目要求与参数，等) 。该面板还包含以下控制：
消息类型显示的四种格式
raw：这里显示的是纯文本形式的消息。在文本窗口的底部提供了一个搜索和加亮功能，可以用它来快速地定位出消息中的感兴趣的字符串，如错误消息。在搜索的左边有一个弹出项，让你来处理大小写问题，以及是使用简单的文本搜索还是正则表达搜索。
params：对包含参数(URL 查询字符串，cookies 消息头，或消息体)的请求，这个选项可以把参数分析成名称/值的组合，并且允许你能简单地查看和修改。headers：这里以名称/值的组合来显示 HTTP 的消息头，并且还以原始的形式显示消息体。hex：这里允许你直接编辑消息的原始二进制数据。如果在文本编辑器里修改，某些传输类型(例如，使用 MIME 编码的浏览器请求的部分)包含的二进制数据可能被损坏。为了修改这些类型的消息，应使用十六进制。
1.Forward当你编辑信息之后，发送信息到服务器或浏览器2.Drop当你不想要发送这次信息可以点击drop放弃这个拦截信息3.Interceptionis on/off这个按钮用来切换和关闭所有拦截。如果按钮显示Interceptionis On，表示请求和响应将被拦截或自动转发根据配置的拦截规则配置代理选项。如果按钮显示Interception is off则显示拦截之后的所有信息将自动转发。4.Action说明一个菜单可用的动作行为操作可以有哪些操作功能。
Send to Spider 发送给蜘蛛Do an active scan 执行主动扫描Send to Intruder 发送到入侵者Send to Repeater 发送到中继器Send to Sequencer 发送到序列发生器Send to Comparer 发送到比较器Send to Decoder 发送到解码器Request in browser 在浏览器的请求Engagement tools 参与工具
Change request method 对所有的请求，经过把所有相关的请求参数适当地搬迁到这个请求里来，你就可以自动地把请求的方法在 POST 和 GET 中间切换。通过发送恶意的请求使用这个选项来快速测试应用程序的极限参数是多少。