设定目标范围
在本教程中,您将学习如何在 Burp Suite 中设置工作的目标范围。目标范围准确地告诉 Burp 您要测试哪些 URL 和主机。这使您能够过滤掉浏览器和其他网站生成的噪音,以便您可以专注于您感兴趣的流量。
网络安全学院
要继续操作,您需要一个 帐户portswigger.net。如果您还没有,可以免费注册,并授予您对网络安全学院的完全访问权限。
如果您尚未完成我们之前的教程,我们建议您先完成此操作,然后再继续。请参阅使用 Burp 代理修改 HTTP 请求。
第 1 步:启动 Burp 的浏览器
启动 Burp 的浏览器并使用它访问以下 URL:
https://portswigger.net/web-security/information-disclosure/exploiting/lab-infoleak-in-error-messages
页面加载后,单击访问实验室。如果出现提示,请登录您的portswigger.net帐户。几秒钟后,您将看到自己的虚假购物网站实例。
第二步:浏览目标站点
在浏览器中,通过单击几个产品页面来浏览该网站。
第 3 步:研究 HTTP 历史记录
在 Burp 中,转到代理 > HTTP 历史记录选项卡。为了使其更易于阅读,请继续单击最左侧列的标题 ( # ),直到请求按降序排序。这样,您就可以在顶部看到最新的请求。
请注意,HTTP 历史记录显示有关浏览器发出的每个请求的详细信息,包括对您不感兴趣的第三方网站(例如 YouTube 和 Google Analytics)的请求。
第四步:设定目标范围
转至目标 > 站点地图。在左侧面板中,您可以看到浏览器与之交互的主机列表。右键单击目标站点的节点,然后单击“添加到范围”。当弹出窗口出现提示时,单击“是”以排除超出范围的流量。
第 5 步:过滤 HTTP 历史记录
单击 HTTP 历史记录上方的显示过滤器,然后选择仅显示范围内的项目。
向后滚动您的 HTTP 历史记录。请注意,它现在仅显示来自目标网站的条目。所有其他条目均已隐藏。这极大地简化了历史记录,使其仅包含您感兴趣的项目。
如果您继续浏览目标站点,请注意超出范围的流量不再记录在站点地图或代理历史记录中。
恭喜,您已成功设置目标范围并使用它来简化您的 HTTP 历史记录。在下一部分中,您将在此基础上完成实验。
售前咨询专员
