Web 安全檢測工具的使用
它可以掃描指定主機的WEB型別、主機名、特定目錄、Cookie、特定CGI漏洞、XSS漏洞、sql、注入漏洞、返回主機允許的http方法等安全問題。
位置:/pentest/web/nikto用法 1:./nikto.pl -h 主機IP或域名 -o 掃描結果
用法 2:./nikto.pl -h 主機IP或域名 -p 80,8080
(提示:方法2也可以在命令後面接上輸出的檔名,將掃描結果儲存下來)
用法 3:./nikto.pl -h 主機IP或域名 -T 掃描型別程式碼用法 4:./nikto.pl -h 主機IP或域名 -c -T
掃描型別程式碼0-檢查檔案上傳頁面
1-檢查web日誌中可疑的檔案或者攻擊
2-檢查錯誤配置或預設檔案
3-檢查資訊洩露問題
4-檢查注射(XSS/Script/HTML)問題
5-遠端檔案索引(從內部根目錄中檢索是否存在不經授權可訪問的
檔案)
6-檢查拒絕服務問題
7-遠端檔案索引(從任意位置檢索是否存在不經授權可訪問的檔案 )
8-檢查是否存在系統命令執行漏洞
9-檢查SQL注入
a-檢查認證繞過問題
b-識別安裝的軟體版本等
c-檢查原始碼洩露問題
x-反向連線選項
2.W3AF簡介:支援GUI和命令列兩種介面
位置:/pentest/web/w3af
開啟圖形化介面:./w3af_gui
輸入指令:./w3af_gui ,可啟動圖形化介面:
3. Wfuz:
簡介:該工具所有功能都依賴於字典。位置:/pentest/web/wfuzz
用法 1: ./wfuzz.py -c -z file -f,字典 --hc 404 --htmlhttp://www.xxx.com/FUZZ 2>ok.html
用法 2: ./wfuzz.py -c -z range -r 1-100 --hc 404 --htmlhttp://www.xxx.com/xxx.asp?id=FUZZ 2>ok.html
用法 3: ./wfuzz.py -c -z file -f,字典 -d"login=admin&pwd=FUZZ" --hc 404
http://www.xxx.com/login.php
相關推薦
Web 安全檢測工具的使用
1.Nikto2 它可以掃描指定主機的WEB型別、主機名、特定目錄、Cookie、特定CGI漏洞、XSS漏洞、sql、注入漏洞、返回主機允許的http方法等安全問題。 位置:/pentest/web
11個免費的Web安全測試工具
漏洞 fis 速度 程序 car exploit spark fiddler 專業 1.Netsparker Community Edition(Windows) 這個程序可以檢測SQL註入和跨頁腳本事件。當檢測完成之後它會給你提供一些解決方案。 2.Websecurify
Web安全-檢測-網頁掛馬
網馬 網馬的本質是一個特定的網頁,這個網頁包含了攻擊者精心構造的惡意程式碼,這些惡意程式碼通過利用瀏覽器(包括控制元件、外掛)的漏洞,載入並執行攻擊者指定的惡意軟體(通常是木馬)。 網站掛馬是黑客植入木馬的一種主要手段。黑客通過入侵或者其他方式控制了網站的許可權,在網站的Web頁面中插入
Web安全-檢測-CRLF
背景知識 在文字處理中, CR, LF, CR/LF是不同作業系統上使用的換行符.Dos和windows採用回車+換行CR/LF表示下一行,而UNIX/Linux採用換行符LF表示下一行,蘋果機(MAC OS系統)則採用回車符CR表示下一行.CR用符號’r’表示, 十進位制ASCII程式
Web安全-檢測-CSRF
背景知識 跨站域請求偽造(CSRF,Cross Site Request Forgery)是一種網路攻擊方式,它在2007年曾被列為網際網路20大安全隱患之一。 網站是通過cookie來識別使用者的,當用戶成功進行身份驗證之後,瀏覽器就會得到一個標識其身份的cookie,只要不關閉瀏覽器
容器安全廠商Aqua推出開源的K8s安全檢測工具Kube
在Kubernetes逐漸踏入正式環境的同時,該專案的安全議題也成為企業所關注焦點。目標推動資訊安全,為公私部門減輕安全威脅的非營利組織CIS( Center for Internet Security)看見這股趨勢,也在近日推出了適用Kubernetes的Benchmark基準。而容器安全
AppScan安全檢測工具,檢測出的問題解決
package com.common.util; import sun.misc.BASE64Decoder; import sun.misc.BASE64Encoder; import javax.crypto.Cipher; import javax.crypto.KeyGenerator; impo
15款最好的Windows系統安全檢測工具
你想測試你的Widnows系統的安全性嗎? 如果你選對了工具,其實這是一件非常有趣的工作。如果你正為挑選合適的工具而苦惱,那就讓本文給你一些幫助吧。 關於安全測試工具,我發現大體上你都能購買到。然而,還有一些是免費的工具,沒有這些工具我會舉步維艱,所以我將兩種型別的工具一
三款主流靜態原始碼安全檢測工具比較
靜態原始碼安全檢測工具比較 1. 概述 隨著網路的飛速發展,各種網路應用不斷成熟,各種開發技術層出不窮,上網已經成為人們日常生活中的一個重要組成部分。在享受網際網路帶來的各種方便之處的同時,安全問題也變得越來越重要。黑客、病毒、木馬等不斷攻擊著各種網站,如何保證網站的
CentOS 中使用 Google Skipfish(Web安全檢測)
先安排所需的外掛: yum install openssl-devel yum install gcc yum install libidn-devel 安裝skipfish: wget http://skipfish.googlecode.com/files/s
Web安全工具大匯聚
smo from eve mine website each enum webapp work http://www.owasp.org/index.PHP/Phoenix/Tools http://sebug.net/paper/other/Web安全工具大匯聚.txt
【筆記】網易微專業-Web安全工程師-03.WEB安全工具
平臺 cms div 指紋 工程師 狀況 建議 advance 針對 課程概述: 在Web安全測試中,借助合適的工具,能夠幫助我們提高測試效率、擴展測試思路。本課會給大家介紹瀏覽器及擴展、代理抓包、敏感文件探測、漏洞掃描、註入探測、目標信息搜集的常用工具用法及測試思路。 課
13個web安全-python網絡測試工具+白帽黑客必備,大神整理,小白可以先收藏起來
Python 爬蟲 黑客 快速入門 進階 Python有很多完善可用的庫,這裏面就包含滲透測試工具,所以廣大白帽黑客大多都使用Python語言,這樣更有利於利用Python提供的這些庫參與漏洞研究、逆向工程和滲透等工作。本文列出13個python網絡測試工具,共大家參考學習。1、Scapy
Python-apk安全檢測--反編譯資原始檔(Smali)-工具下載環境配置
說到反編譯,其實也不是太熟(畢竟這個是些個逆向大神做的事情)。但是在測試環節種我們需要獲取到一些基本的反編譯檔案做一些驗證及測試的工作。為了能夠更好的完成工作就只能自己動手啦! 首先我需要確認一下我們需要得到的目標檔案:Smali(常規反
通過Web安全工具Burp suite找出網站中的XSS漏洞實戰(二)
一、背景 筆者6月份在慕課網錄製視訊教程XSS跨站漏洞 加強Web安全,裡面需要講到很多實戰案例,在漏洞挖掘案例中分為了手工挖掘、工具挖掘、程式碼審計三部分內容,手工挖掘篇參考地址為快速找出網站中可能存在的XSS漏洞實踐(一)https://segmentfau
《web安全之機器學習入門》第7章樸素貝葉斯模型檢測webshell
N-gram演算法,認為第N個詞只與前面的第N-1個詞相關。例如對於一個句子,I love my country.那麼2-gram得到的詞集為:["I love","love my","my country"]程式碼如下:檢測webshell的第一種方式的思路為,將php w
Metasploit(安全漏洞檢測工具)v4.11.5官方版
Metasploit是一款強大好用的漏洞檢測工具,理論上可以支援所有主流的作業系統,可以有效地列舉出指定系統的漏洞,這樣使用者就可以有針對性的修復了,可以大大地提高個人計算機或者企業伺服器的安全,有從事網路管理行業的朋友不要錯過。 軟體說明: 一、搭建metasploit環境 Windo
Web安全漏掃工具AppScan的安裝使用教程
一、安裝1、右鍵安裝檔案,以管理員身份執行,如下圖所示:2、點選【確定】3、點選【安裝】4、選擇:我接受許可協議中單位全部條款,點選【下一步】5、點選【安裝】到該目錄6、如果需求掃描Web services點選【是】安裝該外掛,如果不需要點選【否】如果只是掃描web就不需要安
Web安全測試常用工具
Pornzilla是一套有用的FireFox小書籤和擴充套件,它提供了大量方便的、有助於web應用安全測試的工具。如RefSpoof修改HTTP Referer資訊,或許能繞過不安全的登入機制;Digger是一個目錄遍歷工具;Spiderzilla是網站爬蟲工具;Increment和Decrement篡改U
web安全入門資料和工具
Awesome Web Security - ZH �� Curated list of Web Security materials and resources. Needless to say, most websites suffer f