比較糾結……剛寫了很長,不小心按了一下「f5」全丟了……重新寫!
我們知道,目前市面上的多數漏洞掃瞄系統,如我們熟知的x-scan、流光、nessus、nmap等,多數是掃瞄作業系統、網路裝置、系統應用的漏洞的,如:windows、linux、unix、aix漏洞;cisco ios漏洞;ftp、apache漏洞等,而對**應用程式自身的漏洞卻幾乎都無能為力(當然x-scan和nessus也能掃瞄一點注入和跨站漏洞,但很有限),作為網路管理員,就比較頭大。有沒有好的方式快速評估**安全性呢?——當然是有!(廢話,否則也不會有本文了 嘿嘿)
為了演示方便,遊俠在vmware安裝了iis,並安置了乙個具有漏洞的**程式,該系統的位址是:192.168.1.44,下面測試主要圍繞本位址進行。
「爬蟲配置」-「基本配置」如下:
「檢測配置」的「監測點」如下:
當然,也可以設定「例外引數」:
「策略配置」是重點,可以掃瞄的專案都在這裡,我們看看:
具體的遊俠就不多展開說了,因為這個畢竟比較敏感 呵呵
下面就比較簡單,輸入**基本就ok了,這裡需要等待一下,因為如果**內容比較多,速度就比較慢。
主介面會顯示站點結構,顧名思義,就是**目錄結構了,畢竟掃瞄器是有「爬蟲」的!然後會顯示現在正在掃瞄跨站漏洞還是盲注檢測等內容,看看狀態:
需要測試的**規模畢竟不大,過一陣子就檢測完畢,看看結果吧,本web應用安全掃瞄器的報表功能相對而言做的不錯的,可以導成各種格式,包括:pdf、html、mht、rtf、xls、xlsx、csv、text、image,格式夠全面吧?呵呵,我們預覽下安全評估的報告:
除了有圖形報表顯示漏洞分布,還有漏洞詳情,包括:
漏洞型別、漏洞描述、漏洞鏈結、http方法、引數、漏洞引數、備註(漏洞的測試url)。
可以說,作為國內的一款web應用安全掃瞄器,本軟體使用簡單,功能還是較為強大的,如果您對本軟體感興趣或有購買需求,也可以聯絡遊俠安全網(www.youxia.org)。
**:
Python安全小工具之Web目錄掃瞄器
本次的程式實質是web目錄的暴力破解,即基本過程為取出字典內容 和目標 進行組合 然後進行請求識別,能否掃瞄出相應的web目錄主要看字典的強大與否。至於字典,網上也很多資源,收集一下即可。這裡為了方便,將收集的ua自己儲存成乙個檔案方便其他指令碼直接呼叫。user agent list.py usr...
web敏感目錄掃瞄器 python編寫
之前寫了乙個埠掃瞄器 但是還有很多的模組沒有做好,因為只是tcp全掃瞄的,如果是遇到了防火牆就沒有辦法了,而且就算掃出了存在的埠也會在對方伺服器上留下大量的痕跡,所以後面有空我會把它優化和擴充功能 coding utf 8 import requests from threading import ...
菜鳥日記之awvs掃瞄器掃瞄web漏洞
立個flag,這個月跟著實驗吧做實驗掌握基礎。今天的分割線 今天是10月30號星期二。從昨天得知實驗吧這個平台,到昨晚的夢裡都是關於網路安全的各種。終於,我可以更高一層去接觸和了解網路安全。謹此部落格記錄我與網安的這些個相識相知的日子。今日主題awvs掃瞄器 了解常用的工具 web scanner ...