Kali-skipfish工具使用实验-Web应用安全扫描2(1)

最新推荐文章于 2024-08-23 09:12:23 发布
最新推荐文章于 2024-08-23 09:12:23 发布
阅读量252 收藏 4
点赞数 5
分类专栏: 程序员 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84968016/article/details/138771891
版权

二、站点搭建

1.下载PhPStudy软件安装包(简单易用的一站式站点搭建工具)

下载地址: https://www.xp.cn/

根据自己的电脑配置选择下载64位或32位

50af3bbc41614d5fb5ddc52f1204b806.png

6cf923304d5b41019ad3f94d51638fae.png

95acbe24332a4a2bb21548f6997522b8.png

d3f1c250f4f04af194d6f57591bde548.png

7b812dbc4012408eaf7fe524e679c808.png

0a12b51ba3544ea49d1ce7f29b456e34.png

2.安装软件

0db4da2d27214e0c94b304758fcfe15f.png

19f9c460c9cf4b72bfcba7dff6175888.png

edc53eb4735240b19f2af7c52a834915.png

4f736d8dc2b640699171546a62b02552.png

3.通过PhPStudy打开Apache,Mysql服务

a65a9a72767e4dcdad36e2c2dbd84cc3.png

177257c8ba0e436e8ec0ff0c9bf4f615.png

4.测试基础站点(win7和kali上均进行)

1)通过PhPStudy访问

730b3f9231334271ab153a8e125e1cc0.png

3be46b123c074b149282417248604722.png

2)直接访问本机ip地址

206aac62841f44cd8d7a74d3b051df67.png

3)通过kali访问

ac4a99719a574ff5ada06b095059df47.png

e2ec7b5d135a452e8f42d7a283bc0ef5.png

9ec55da1beac4d9cad68c954513a9aa4.png

b577421cf4374a1bb95b099b0a0ae233.png

三、DVWA靶场搭建

(参考文章:dvwa下载及安装-图文详解+phpStudy配置-CSDN博客

1.下载DVWA资源包

官网:https://www.dvwa.co.uk/

b70b5add77d74f5dbc34d978d961d8d6.png

2.解压

5d56b852dcae4cfe8f726c2ab1bcd89d.png

5b0ef34135244538bd645dfc24337de4.png

3.将解压出的文件移动到PhPStudy站点提示的目录下

779acde967f04a099e40f25dc7dbf368.png

10c5bec3b00645b4a5eefc14e7f6069c.png

303714a8d3a14e5da7788a6654a58629.png

2eb96c3b3a5b4e3494e8dae858fc5424.png

9bde771983284f6aa04ae9c5027a9c2a.png

66372d9932e042129b9ffcc7dd95a8f9.png

4.打开浏览器查看

访问http://192.168.241.141/dvwa-master/

(中间的IP地址为本机IP)

56b09be913194fd6ba88309694a09f09.png

ca64344cb9af4fc993bab86fe315a426.png

5.根据提示配置相应文件

f25f0520e6c84bd18a00f6433c10d14b.png

baa3d4d50b8742e49e11da2b270217e1.png

cd9cc28795e0475ab9bc7c74b507e20a.png

将复制出来的文件的后缀(.dist)删除,使其后缀变成.php。(可理解为重命名为:config.inc.php)

d156a09858154947b568a56a8a333b6c.png

475e626f32a94522abf842018ccc2cdb.png

b928481239b6482a89b536d5970ef06b.png

6929b5c6551a49bfb8a95bc782a3a1f8.png

83e514c9533a463783fc8884c093700f.png

recaptcha_public_key: 6LdK7xITAAzzAAJQTfL7fu6I-0aPl8KHHieAT_yJg
recaptcha_private_key: 6LdK7xITAzzAAL_uw9YXVUOPoIHPZLfw2K1n5NVQ

4c66f8c855ba4c208967e95129c236f3.png

保存关闭

6.根据文件中的配置修改数据库密码

7e855b91a2c248bab42d92896d229cc0.png

3b5ec73d42ea445b93c0419a69f8f0db.png

7.再次访问DVWA

浏览器访问http://192.168.241.141/dvwa-master/

742b8b3ba6cd4c8bb5654562e7d21a58.png

72ed3e409cae4b17ade8bf44ee06c539.png

8.点击重置数据库生成页面

5cf7ddbb1954488996a3ac5bc5062772.png

fd191851f46d4623b1fe53b102e575c4.png

9.登录DVWA

输入用户名和密码:

Username: admin

Password: password

f8958b2c5c63443db73c90a01a9f2871.png

10.修改DVWA安全级别

将安全级别修改为low

10ddb31313fb44899463af1bcaee0ccb.png

feb96c77710949e68e6f12a0f5724d6d.png

5b0d87e1512a4aaa90d4e02610d196b5.png

2994f947ff7940d9aba24e76a002d085.png

11.通过kali也能正常访问DVWA

438280c52c544b4ea845440e4792d225.png

四、skipfish扫描

1.基于爬网扫描(挨个链接深入扫描)

1)终端键入扫描指令执行扫描

skipfish -o /test/sftest/test01 http://192.168.241.141/dvwa-master/

-o 后为扫描结果存放地址

建议提前创建好文件夹用来存放扫描结果

9ba7c290b821436b9fa5aed749d164bb.png

d7365b561ec04b389a1de55a09166e58.png

初次运行建议等待

838e765aa8344e30aef67d7c5d6385df.png

5ce821b78c7b49189f51ddfae043bbbf.png

2)查看结果

87856112a5d04939b15793f7954d6e01.png

86be823b083847fa82f0fa3d45be2633.png

点击一个漏洞查看

00d81d4720244c11a05008550f621da0.png

e35f83d4dafe4695b7830025217e41b7.png

2.基于字典扫描(在URL后加上字典内容拼凑尝试访问,时间长)

1)查看skipfish本地自带字典

字典地址:/usr/share/skipfish/dictionaries

3b2d251c9832441a87f214d44cb58175.png

291abb9763ec4753b24a67d2eacf5085.png

a2bc646f949640fcbbe9e38f97648778.png

2)终端键入指令,指定字典扫描

skipfish -o /test/sftest/test02 -S /usr/share/skipfish/dictionaries/minimal.wl http://192.168.241.141/dvwa-master/

-S 后为指定的字典

9eb9d31fa3b04a8b8b926698e004e232.png

86fb24897bdc42628ba60617f432680e.png

a6219b9072554ceebf6ab66514d4b618.png

32c4436a29c24b208a7ecc90e813757e.png

3)查看结果

e3ba0a6f7c7444389804239bc7461605.png

b8ce8f7626394ca3927cdab31230e0cc.png

5c5742cb797b4f7abf020137154ee767.png

29583ba38e0f44c7b4b8e7f81dee5794.png

最后

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

img

img

img

img

img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

[外链图片转存中…(img-HSFPkZn3-1715527599464)]

[外链图片转存中…(img-9w5dyTyv-1715527599464)]

[外链图片转存中…(img-DHbEXYuf-1715527599464)]

[外链图片转存中…(img-Fp1tmlQh-1715527599464)]

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

Web安全扫描工具搭建与使用(附扫描工具安装包)
悦分享
11-06 387
WebInspect也是一款比较常见的Web安全动态扫描工具,它的安全规则库由世界领先的Web安全专家每日维护和更新(与fortify同一个安全团队),有一些创新的评估技术,例如同步扫描和审核及并发应用程序扫描,快速准确地自动执行 Web 应用程序安全测试和 Web 服务安全测试。基于Java的Web代理的方式,用于评估Web应用程序漏洞。Nikto是一款专业的web服务器扫描工具,软件采用命令行的执行方式,可以对服务器进行快速的检测,从而发现潜在的危险以及CGI等问题,是网络管理人员的必备工具
最新kaliskipfish
vanony的博客
01-24 284
描述:   Web应用程序安全扫描程序。   skipfish是一种活动的Web应用程序安全侦察工具。 它通过执行递归爬网和基于字典的探针来为目标站点准备一个交互式站点地图。 然后,使用来自多个活动(但希望是非破坏性)安全检查的输出对结果映射进行注释。 该工具生成的最终报告旨在作为专业Web应用程序安全评估的基础。 选项摘要: 身份验证和访问选项: -A user:pass 使用指定的HTTP身份验证凭据 -F host=IP 假装“主机”解析为“ IP” -C name=val 将自
Kali linux 学习笔记(四十)Web渗透——扫描工具skipfish 2020.3.17
闵行小鱼塘
03-17 1101
扫描工具skipfish
Kali-skipfish工具使用实验-Web应用安全扫描2.0整理版(包含DVWA)
qq_73680923的博客
04-25 1947
skipfish web应用安全扫描
Skipfish开源项目使用手册
最新发布
gitblog_00922的博客
08-23 402
Skipfish开源项目使用手册 skipfishWeb application security scanner created by lcamtuf for google - Unofficial Mirror项目地址:https://gitcode.com/gh_mirrors/sk/skipfish 一、项目目录结构及介绍 Skipfish是一款由Google开发的强大、主动式Web应用...
毕业一年,从事运维感觉没有出路,如何转型更有前景?
Python_0011的博客
07-08 985
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
Web应用主动侦测工具Skipfish
weixin_34311757的博客
08-10 154
2019独角兽企业重金招聘Python工程师标准>>> ...
Kali工具库之skipfish
辰鬼的博客
05-17 533
Web应用程序安全扫描程序。 skipfish是一种活动的Web应用程序安全侦察工具。 它通过执行递归爬网和基于字典的探针来为目标站点准备一个交互式站点地图。 然后,使用来自多个活动(但希望是非破坏性)安全检查的输出对结果映射进行注释。 该工具生成的最终报告旨在作为专业Web应用程序安全评估的基础。 原文: SYNOPSIS skipfish [options] -o output-directory [ start-url | @url-file [ start-url2 ... ]] 意译: 选
skipfish基本使用
qq_56426046的博客
09-06 902
由谷歌创建的 Web 应用程序安全扫描程序,是一种活跃的 Web 应用程序安全侦察工具。它通过执行递归爬网和基于字典的探针为目标站点准备交互式站点扫描。然后使用许多活动(但希望无中断)安全检查的输出对结果映射进行注释。该工具生成的最终报告旨在作为专业 Web 应用程序安全评估的基础。纯 C 代码,高度优化的 HTTP 处理,最小的 CPU 占用空间 - 通过响应式目标轻松实现每秒2000 个请求;启发式支持各种古怪的 Web 框架和混合技术站点,具有自动学习功能,动态词表创建和表单自动完成;
Kali-WEB渗透-skipfish使用方法
lvwuwei的博客
05-03 1115
Kali——WEB渗透 学习web渗透过程中的心得体会以及知识点的整理,方便我自己查找,也希望可以和大家一起交流。 —— 扫描Skipfish—— skipfish:是一款由谷歌开发的实验性的主动WEB安全评估工具使用C语言编写,体量小但是功能齐全。特点是:递归爬站,基于字典的探测,速度较快(多路单线程,启发式自动内容探测),误报相对较低。 2.使用 (1).格式:skipfish [opti...
kali】33 WEB渗透——扫描工具Skipfish
(∪.∪ )...zzz的博客
11-30 1993
这里写自定义目录标题Skipfish1. Skipfish 简介2. Skipfish 基本操作默认扫描使用的字典指定字典 (-S)将目标网站特有的特征漏洞代码存到文件 (-W)3. 身份认证4. 提交用户名密码表单 Skipfish 1. Skipfish 简介 Skipfish是一款主动的Web应用程序安全侦察工具。它通过执行递归爬取和基于字典的探测来为目标站点准备交互式站点地图。最终的地图然后用来自许多活动(但希望是不中断的)安全检查的输出来注释。该工具生成的最终报告旨在作为专业Web应用程序安全评估
kali工具详细说明----------Web应用程序
墨痕诉清风的博客
12-03 357
Web Applications(Web 应用程序) 工具名称 工具说明 命令行/界面 开源 /付费 编写语言 平台支持 源码链接 备注 apache-users 枚举系统上apache的用户名,支持远程方式 命令行 不开源 未知 kaili 安装地址(git clone) git://git.kali....
Kali扫描 skipfish使用
胡乱写点什么
07-22 2333
Kali——WEB渗透(五) 学习web渗透过程中的心得体会以及知识点的整理,方便我自己查找,也希望可以和大家一起交流。 —— 扫描Skipfish—— skipfish:是一款由谷歌开发的实验性的主动WEB安全评估工具使用C语言编写,体量小但是功能齐全。特点是:递归爬站,基于字典的探测,速度较快(多路单线程,启发式自动内容探测),误报相对较低。 2.使用 (1).格式:skipfis...
skipfish使用
yangge03的博客
05-18 1209
1、安装所需软件库: yum install pcre-devel openssl-devel libidn-devel libidn2-devel 2、安装skipfish 下载源码skipfish # https://github.com/spinkham/skipfish ( http://code.google.com/p/skipfish/)获取源码,解压     执行ma
Skipfish一键扫描网站漏洞(KALI工具系列三十四)
LNN0212的博客
07-01 672
Kali Linux 是一个功能强大、多才多艺的 Linux 发行版 ,广泛用于网络安全社区。它具有全面的预安装工具和功能集,使其成为安全测试、数字取证、事件响应和恶意软件分析的有效平台。作为使用者,你可以把它理解为一个特殊的Linux 发行版 ,集成了精心挑选的渗透测试和安全审计的工具,供渗透测试和安全设计人员使用,也可称之为平台或者框架。Skipfish是一个高效的 web 应用安全扫描器,常用于发现网站中的漏洞。使用 Skipfishweb 应用进行安全扫描,发现潜在的漏洞和安全问题。
Kali Linux渗透测试 074 扫描工具-Skipfish
kevinhanser
03-05 3724
>本文记录 Kali Linux 2018.1 学习使用和渗透测试的详细过程,教程为安全牛课堂里的《Kali Linux 渗透测试》课程 > >1. Skipfish 简介 >2. Skipfish 基本操作 >3. 身份认证 >4. 提交用户名密码表单
使用Skipfish检测安全漏洞
jsvdb的博客
06-15 1801
Skipfish是一款开源的Web应用程序安全检测工具,主要功能包括主动扫描和被动扫描使用Skipfish可以快速地发现应用程序中的安全漏洞,比如SQL注入、XSS攻击、目录遍历等。以下是使用Skipfish检测安全漏洞时需要注意的一些要点:设置好扫描参数:在进行扫描之前,需要设置好扫描参数,包括扫描的目标URL、要排除的URL、线程数、扫描的深度等。关注扫描结果:Skipfish会输出扫描结果报告,需要仔细关注其中的漏洞信息,包括漏洞类型、漏洞描述、漏洞等级等。
kali linux渗透测试之漏洞扫描
zz12345600354的博客
04-28 989
进行渗透测试需要进行漏洞扫描,今天就分享给大家几款漏洞扫描软件用法。Nikto是一款开源的(GPL)网页服务器扫描器,它可以对网页服务器进行全面的多种扫描,包含超过3300种有潜在危险的文件CGIs;超过625种服务器版本;超过230种特定服务器问题。。。这是一款kaliLinux自带的软件。其对服务器扫描具有优势。强调:nikto更多针对主机!!!!!!系统漏洞扫描与分析软件Nessus 是全世界最多人使用的系统漏洞扫描与分析软件。
kali-skipfish工具使用实验(包含DVWA靶场搭建教程)
qq_73680923的博客
04-23 748
kaliskipfish工具使用
skipfish试用
wei
06-30 247
一。简介 google的一款安全扫描工具,项目地址在http://code.google.com/p/skipfish/     A fully automated, active web application security reconnaissance tool. Key features: High speed: pure C code, highly optimized ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值