burpsuit2.0 配置功能复习

Tagget模块

这个功能不知道干啥用的，探索一下。

engagement tools	参考工具
Analyze target	分析target，可以根据静态文件、动态文件、及参数维度分析
Discover content	探索内容，可以用于发现一些敏感目录、文件
Schedule task	安排任务，暂停和重置任务的
Simulate manual testing	模拟手工测试

模拟手工测试的功能没用过，看起来不错，一个host，一个Path和参数，和scanner的区别是只针对一个request做测试。

Compare site maps

对比网站地图

Use advanced scope control：使用高级范围控制

include in scope #允许的范围

Exclude from scope #排除的范围

Proxy模块：

主要是看看options配置

Intercept Client Requests	拦截客户端请求 requests
Intercept Server Responses	拦截服务器响应 response

Intruder模块：

Positions（位置）：

sniper（一个变量使用一个payload重放）、

Battering ram（多个变量使用一个payload重放）、

Pitchfork（多个变量使用多个payload重放）、

Cluster bomb（多个变量使用多个payload交叉重放）。

剩下的看看payload：

Simple List	这是最简单的有效载荷类型，并允许您配置用作有效载荷的字符串的简单列表。您可以使用文本框和“添加”按钮手动向列表中添加项，也可以从剪贴板粘贴列表，或从文件加载。在采用项目列表的各种有效负载类型中，可以使用“Add from list”下拉菜单添加有用有效负载的预定义列表，例如常见用户名和密码、模糊字符串等。
Runtime File	此有效载荷类型允许您在运行时配置从中读取有效载荷字符串的文件。当需要一个非常大的有效负载列表时，这是有用的，以避免将整个列表存储在内存中。从文件的每一行读取一个有效载荷，因此有效载荷可能不包含换行符。
Custom Iterator	此有效载荷类型允许您配置多个项目列表，并使用列表中所有项的排列生成有效载荷。它提供了一种根据给定模板生成字符或其他项目的自定义排列的强大方法。例如，工资单应用程序可以使用表单AB/12的人员编号来标识个人；您可能需要迭代所有可能的人员编号以获得所有个人的详细信息。
。。。	。。。其他参考：https://portswigger.net/burp/documentation/desktop/tools/intruder/payloads/types#simple-list

Options选项：

Pause before retry

重试前暂停的时间

Sequencer 模块： Token令××× 脆弱性验证、比如1000个猜测到 token值是多少，一直没用过。

Decoder（编码、解码）、Comparer（对比分析）、Extender（扩展模块）没啥变化。

Project options 模块：

User options

这里面有几个有用的选项，

自动备份，在1.5版本也有，很好使，避免突然关机，啥都没了，不过项目文件会很大，试了下 2.0 要在启动的时候，配置项目名称后，才可以使用这个功能。

web api 接口，在捣鼓怎么用。