声明：学习视频来自b站up主 泷羽sec，如涉及侵权马上删除文章

感谢泷羽sec 团队的教学
视频地址：IP伪造和爬虫审计_哔哩哔哩_bilibili

一、FakeIP

1.配置环境

BurpSuite是java环境下编写的，而今天的插件是python编写的，所以我们要先配置好环境。

（1）下载jython

    Jython允许Python代码转换为Java字节码，从而使Python可以在Java平台上运行

    下载网址：Home | Jython

（2）配置到BurpSuite

2.安装插件

（1）安装FaskIP插件

    下载地址：GitHub - AeolusTF/BurpFakeIP: 一个用于伪造ip地址进行爆破的Burp Suite插件

（2）将插件安装到BurpSuite

    

3.实操

（1）选择FaskIP的随机ip

（2）保存X-Forwarded-For,其余删除，发至Intuder，设置变量

（3）选择payload，扩展生成，选择FaskIp插件

（4）使用成功

4.FakeIP与代理池的区别

FakeIP：伪造IP，在一些情况下能有效绕过WAF，但是日志里面记录的还是本机IP，溯源到的还是本机IP

代理池：代理池的都是真实IP，每一次发包都是由代理池的真实IP进行发包。配合Burp插件的使用，每一次发包换一次代理，直到池子的代理更换完为止

二、爬虫审计

1.首页任务：

• 新建扫描
• 新建实时任务

2.实时任务：

（1）类型

• 实时审计：对通过代理的所有流量进行实时分析和检测，使用官方POC进行验证。
• 实时被动爬虫：不主动向目标服务器发送请求，通过监听流量来收集信息。

（2）实时审计的扫描设定：

比较重要的两个设置：

• 审计优化：设置审计的速度和准确率。
  • 速度：快速、适中、全面。
  • 准确率：减少漏报率、适中、减少误报率。
• 插入点类型：URL参数值、Body参数值、cookie参数值、参数名称、HTTP报头、整个主体、URL路径的文件名、URL路径的文件夹。

（3）实时审计和实时被动爬虫结合：

• 访问网站时同时进行信息收集和实时审计。
• 爬虫收集的信息会传输到“目标”的站点地图，方便查看。

3.新建扫描：

（1）类型

爬虫与审计：同时进行爬虫和审计，主动请求网站进行审计。

爬虫：主动请求服务器访问，不进行审计。

（2）扫描设定

用户需要在扫描的速度和覆盖范围之间进行选择。

轻量：速度最快，覆盖范围最小。

快速：速度较快，覆盖范围较小。

平衡：速度适中，覆盖范围适中。

深度：速度最慢，覆盖范围最大。

（3）应用登录

当扫描过程中遇到需要登录的页面时，系统将进行自动登录。

（4）资源池：

扫描的速度可以根据目标服务器的负担进行调整，以适应不同的服务器负载情况

注意：只有BurpSuite专业版才能使用扫描模块