6.2.2.2 与扫描器联动
文档摘要
6.2.2.2 与扫描器联动 6.2.2.2 与扫描器联动:当 Burp Suite 的 Passive Scan 遇上自定义规则引擎——一次真实渗透测试中“漏报率骤降 73%”的落地实践 凌晨两点十七分,我盯着屏幕上第 14 次重放失败的 HTTP 请求,手指悬在键盘上方,没敲下去。不是因为困,而是因为一种熟悉的、令人烦躁的“错觉”: ——系统明明存在硬编码密钥,Burp 的被动扫描(Passive Scan)却像盲人摸象,只报了两个低危的 头泄露; ——ZAP 跑完全量爬取,报告里连 这种赤裸裸的调试接口都没标红; ——而就在三小时前,我手动发了个 ,响应体里明晃晃躺着 ——它甚至没被当作“敏感信息”高亮。 这不是扫描器太弱,是我们在用“望远镜”看显微镜该做的事。
评论区
(0)
U