zoukankan      html  css  js  c++  java
  • 第一章信息收集—漏洞扫描awvs和appscan

    • Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞。(AWVS详细使用说明参考:https://www.cnblogs.com/finer/p/9864700.html)
    • AppScan是IBM公司出的一款Web应用安全测试工具,采用黑盒测试的方式,可以扫描常见的web应用安全漏洞。其工作原理,首先是根据起始页爬取站下所有可见的页面,同时测试常见的管理后台;获得所有页面之后利用SQL注入原理进行测试是否存在注入点以及跨站脚本攻击的可能;同时还会对cookie管理、会话周期等常见的web安全漏洞进行检测。

             注:本文笔记学习时还未装对应软件,所用图片为学习视频中老师讲解界面,如有需要之后会出安装博客,有了软件再替换本文用图


    一、AWVS(可以去网上下载汉化版)

    1.进入界面如下:

    2.点击new scan(上图红框)出现扫描向导,其中Website URL支持地址和URL, 输入目标地址点击next

    3.点击第一个Scanning profile扫描策略,可以在下拉列表里选择专项扫描比如文件上传漏洞,盲注漏洞等等,default相对扫的比较全

     

     4.再点击下面的Customize,可以选择扫描行为,弹出界面如下,对web、HTTP协议了解比较多的同学可以自己设置一下

     5.一般我们上述两项我们都是default,然后就可以next了,界面如下,目标地址有了,基本信息也爬过来了

     6.继续next出现以下页面

    7.用上图第一种方法自己去网址登陆,首先点击以后进入到网址内

    8.进入到登录界面,输入账号密码登录成功以后点击右下角finish

     9.保存登录序列,他会自己保存到自己特定的路径下

     10.保存以后再打开刚才的界面,下图红框中就自动出现了刚刚保存的序列

     11.点击next就进入了尝试登录

     12.完成后点击finish,右边红框位置就开始扫啦(可以扫描的网站一定是遵守规则的,对于规则复杂的网站扫描不完整,所以还需要人工操作)

    13.扫描完成的界面,左边红框显示高危漏洞,右框对应的是我们可以进行测试的参数,图片右边标的文字不对,右红框上面才是详细说明

    14.我们应该仔细研究的是下图红框,第一行id后边就是上图右红框红色字体——参数

    15.我们把红色字体粘贴到浏览器原有网站地址中,如果还能正常运行,则在上上图右红框Tests Performed底下找一个false的粘贴再看,网址和回车后页面显示如下(这一步操作的是盲注漏洞)

     

     说明语句被代入执行了,即可判定出现了注入漏洞

     16.枚举型漏洞,可以通过爆破路径找到重要文件

    总结:可以扫出来大部分漏洞,但是有一部分扫不出来还需要人工操作


     二、appscan

    1.载入界面以及软件初始界面

     

     2.用法与awvs相似,点击创建新的扫描

     3.弹出的预定义模板在这里我们选择常规扫描

     4.弹出如下界面,点击下一步

    5.输入地址,显示连接到服务器以后点击下一步

     

    6.选择是否使用代理,网站需要认证的话输入,完成以后点击下一步

     

    7.点击记录中的使用AppScan浏览器的话,与AWVS第7步开始一样,这里不再演示

     

     8.测试策略可选,这里我们还是选择Default,点击下一步

     9.这一步不用动,点击完成

     10.弹出的界面选择“是”,自己命名将扫描结果保存

     11.开始扫描

     12.扫描完毕,左侧红框是漏洞,右边是对应说明,如下:

  • 相关阅读:
    ($children,$refs,$parent)的使用
    watch监听变化
    vue组件间通信六种方式(完整版)
    CSS水平垂直居中常见方法总结2
    CSS水平垂直居中常见方法总结
    Uncaught SyntaxError: Unexpected identifier 报错 import Vue from 'vue';
    前端跳槽面试必备
    防止重复发送Ajax请求问题
    JQuery中的$().each 以及 $.each的区别
    数组中的forEach和map的区别
  • 原文地址:https://www.cnblogs.com/ApricityJ/p/12639417.html
Copyright © 2011-2022 走看看