第 1 步:获取扫描结果摘要
选择您的扫描并转到概览选项卡。此选项卡包含各种图表,可让您快速了解扫描结果。如果您的扫描仍在运行,随着检测到更多漏洞,这些会实时更新。
第 2 步:查看已识别的问题
转到“问题”选项卡以查看到目前为止已通过扫描识别的所有安全问题的列表。这些是根据问题的估计严重性进行颜色编码的。
问题按类型分组。您可以展开每个问题类型以查看检测到它的所有 URL。
第 3 步:过滤问题列表
面对大量问题时,您需要确定优先级。列表顶部的按钮使您能够选择要显示的问题严重性和置信度级别。
置信度取决于用于检测每种类型问题的技术的固有准确性。我们强烈建议您手动确认所有报告的问题。
第 4 步:获取有关该问题的更多信息
选择检测到漏洞的 URL 之一。
Advisory选项卡提供 的信息可帮助您了解问题所在以及可以采取哪些措施来解决问题。在某些情况下,您会找到 Web 安全学院的链接,您可以在其中练习在一系列故意易受攻击的网站上自行利用该问题。
第 5 步:检查证据
Request和Response选项卡显示
Burp Scanner 为问题找到的证据 。可用证据的种类取决于问题类型。
第 6 步:排除误报
在手动审查报告的问题后,您可能会认为它是误报。要将问题标记为误报,请选择它,然后单击标记为误报。
系统会提示您将此更改应用于网站其他地方发现的类似问题,但现在,只需接受默认设置。
第 7 步:报告您的发现
您通常希望将扫描结果报告给无法访问 Burp Suite Enterprise Edition 的其他利益相关者。例如,您需要将任何发现的详细信息传递给您的开发团队,以便他们可以进行修复。
返回扫描并打开“报告”选项卡。从这里您可以选择要下载的报告类型以及应包括的严重程度。