参考文章：https://www.cnblogs.com/qiantan/p/11397147.html

1.1 Dashbord(仪表盘)

主要功能：显示任务，实践日志等。
主要分为三个小模块：

1. Tasks :任务
   此模块自带两个模板
   1)、live passive crawl from proxy(all traffic) #（来自代理（所有流量）的被动抓取）
   2)、live audit from proxy(all traffic) # （来自代理（所有流量）的实时审计）
   3)、还可以创建扫描 New scan：(主要用作主动扫描)

   
   image.png

主要参数选择：
scan details(扫描选项)，可以选择爬虫和审计或者只选择审计，扫描的url列表及scope配置

scan configuration(扫描配置)，可以配置爬虫或审计的规则

Application login options #应用登陆选项，这个只有在爬虫时检测到登陆表单会自动提交，在审计时用不到

Resource pool options #并发数配置，默认为10，一般也不用配置

create new resource pool 创建新的
maximum concurrent request 最大并发请求数
delay between request 请求延时时间
add random variation 添加随机变化
一般默认配置就够了。
4)、 创建扫描: new live task(创建被动扫描)

image.png image.png

2. Event log：这个主要是burpsuite 出现问题或异常状况查看日志用，平时一般用不到。

3. issue activity：动态发现的问题

1.2 proxy (代理)

主要作用是拦截http/s的代理服务器，作为一种在服务器和目标应用程序的中间人，允许拦截查看，修改再两个方向上的原始数据流。

1.3 Intruder 模块

Module1：Target
用于配置目标服务器进行攻击的详细信息。

Host：这是目标服务器的IP地址或主机名。
Port：这是目标服务的端口号。
Use HTTPS：这指定的SSL是否应该被使用
在BurpSuite任何请求处，右键菜单选择“Send to intruder”选项，将自动发送到此模块下并自动填充以上内容。

Module2：Positions
设置Payloads的插入点以及攻击类型（攻击模式）。
attack type：攻击模式设置。
sniper：对变量依次进行破解。多个标记依次进行。
battering ram：对变量同时进行破解。多个标记同时进行。
pitchfork：每一个变量标记对应一个字典，取每个字典的对应项。
cluster bomb：每个变量对应一个字典，并且进行交集破解，尝试各种组合。适用于用户名+密码的破解。
add：插入一个新的标记。
clear：清除所有的标记。
auto：自动设置标记，一个请求发到该模块后burpsuite会自动标记cookie URL等参数。
refresh：如果必要的话，这可以要求模板编辑器的语法高亮。

Module3：Payloads
设置payload，配置字典。
Payload Sets：Payload数量类型设置。
Payload Set：指定需要配置的变量。
Payload type：Payload类型。

Simple list：简单字典
Runtime file：运行文件
Custom iterator：自定义迭代器
Character substitution：字符替换
Recursive grep：递归查找
lllegal unicode：非法字符
Character blocks：字符块
Numbers：数字组合
Dates：日期组合
Brute forcer：暴力破解
Null payloads：空payload
Username generator：用户名生成
copy other payload：复制其他payload

Payload Opetions[Payload type]：该选项会根据上个选项中Payload type的设置而改变。
Payload Processing：对生成的Payload进行编码、加密、截取等操作。

1.4 Decoder模块(编码模块)

将原始数据转换成各种编码和哈希表的简单工具。它能够智能地识别多种编码格式采用启发式技术。

• Decode as...：解码
• Encode as...：编码
  • 支持的编码解码类型：1.Url 2.HTML 3.Base64 4.ASCII码 5.Hex（十六进制） 6.octal（八进制） 7.binary(二进制) 8.GZIP
• hash：支持的hash算法：1.SHA-384 2.SHA-224 3.SHA-256 4.MD2 5.SHA 6.SHA-512 7.MD5
• Smart decoding：智能解码，burpsuite会递归查询自己所支持的格式尝试解码。通过有请求的任意模块的右键菜单send to Decoder或输入数据选择相应的数据格式即可进行解码编码操作，或直接点击Smart decoding进行智能解码。