Kali-skipfish工具使用实验-Web应用安全扫描2

最新推荐文章于 2025-04-05 16:55:17 发布
最新推荐文章于 2025-04-05 16:55:17 发布
阅读量1.1k 收藏 12
点赞数 19
分类专栏: 程序员 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84972870/article/details/138983154
版权

3.通过PhPStudy打开Apache,Mysql服务

4.测试基础站点(win7和kali上均进行)

1)通过PhPStudy访问

2)直接访问本机ip地址

3)通过kali访问

三、DVWA靶场搭建

1.下载DVWA资源包

2.解压

3.将解压出的文件移动到PhPStudy站点提示的目录下

4.打开浏览器查看

5.根据提示配置相应文件

6.根据文件中的配置修改数据库密码

7.再次访问DVWA

8.点击重置数据库生成页面

9.登录DVWA

10.修改DVWA安全级别

11.通过kali也能正常访问DVWA

四、skipfish扫描

1.基于爬网扫描(挨个链接深入扫描)

1)终端键入扫描指令执行扫描

2)查看结果

2.基于字典扫描(在URL后加上字典内容拼凑尝试访问,时间长)

1)查看skipfish本地自带字典

2)终端键入指令,指定字典扫描

3)查看结果

3.部分拓展

一、环境准备

1.使用VMware创建两台虚拟机

1)Windows7

用来搭建站点和靶场

744e5e3a94654ca2b6cae570520a23ca.png

5a5e517c7e4e4eb6b4da50cd102702a4.png

2)Kali

通过Kali上的skipfish对web应用程序进行安全扫描

04afb6949dbc4f36a6eefc95f002df8c.png

c7c22935fb724b9b9456611b9a5e765d.png

二、站点搭建

1.下载PhPStudy软件安装包(简单易用的一站式站点搭建工具)

下载地址: https://www.xp.cn/

根据自己的电脑配置选择下载64位或32位

50af3bbc41614d5fb5ddc52f1204b806.png

6cf923304d5b41019ad3f94d51638fae.png

95acbe24332a4a2bb21548f6997522b8.png

d3f1c250f4f04af194d6f57591bde548.png

7b812dbc4012408eaf7fe524e679c808.png

0a12b51ba3544ea49d1ce7f29b456e34.png

2.安装软件

0db4da2d27214e0c94b304758fcfe15f.png

19f9c460c9cf4b72bfcba7dff6175888.png

edc53eb4735240b19f2af7c52a834915.png

4f736d8dc2b640699171546a62b02552.png

3.通过PhPStudy打开Apache,Mysql服务

a65a9a72767e4dcdad36e2c2dbd84cc3.png

177257c8ba0e436e8ec0ff0c9bf4f615.png

4.测试基础站点(win7和kali上均进行)

1)通过PhPStudy访问

730b3f9231334271ab153a8e125e1cc0.png

3be46b123c074b149282417248604722.png

2)直接访问本机ip地址

206aac62841f44cd8d7a74d3b051df67.png

3)通过kali访问

ac4a99719a574ff5ada06b095059df47.png

e2ec7b5d135a452e8f42d7a283bc0ef5.png

9ec55da1beac4d9cad68c954513a9aa4.png

b577421cf4374a1bb95b099b0a0ae233.png

三、DVWA靶场搭建

(参考文章:dvwa下载及安装-图文详解+phpStudy配置-CSDN博客

1.下载DVWA资源包

官网:https://www.dvwa.co.uk/

b70b5add77d74f5dbc34d978d961d8d6.png

2.解压

5d56b852dcae4cfe8f726c2ab1bcd89d.png

5b0ef34135244538bd645dfc24337de4.png

3.将解压出的文件移动到PhPStudy站点提示的目录下

779acde967f04a099e40f25dc7dbf368.png

10c5bec3b00645b4a5eefc14e7f6069c.png

303714a8d3a14e5da7788a6654a58629.png

2eb96c3b3a5b4e3494e8dae858fc5424.png

9bde771983284f6aa04ae9c5027a9c2a.png

66372d9932e042129b9ffcc7dd95a8f9.png

4.打开浏览器查看

访问http://192.168.241.141/dvwa-master/

(中间的IP地址为本机IP)

56b09be913194fd6ba88309694a09f09.png

ca64344cb9af4fc993bab86fe315a426.png

5.根据提示配置相应文件

f25f0520e6c84bd18a00f6433c10d14b.png

baa3d4d50b8742e49e11da2b270217e1.png

cd9cc28795e0475ab9bc7c74b507e20a.png

将复制出来的文件的后缀(.dist)删除,使其后缀变成.php。(可理解为重命名为:config.inc.php)

d156a09858154947b568a56a8a333b6c.png

475e626f32a94522abf842018ccc2cdb.png

b928481239b6482a89b536d5970ef06b.png

6929b5c6551a49bfb8a95bc782a3a1f8.png

83e514c9533a463783fc8884c093700f.png

recaptcha_public_key: 6LdK7xITAAzzAAJQTfL7fu6I-0aPl8KHHieAT_yJg
recaptcha_private_key: 6LdK7xITAzzAAL_uw9YXVUOPoIHPZLfw2K1n5NVQ

4c66f8c855ba4c208967e95129c236f3.png

保存关闭

6.根据文件中的配置修改数据库密码

7e855b91a2c248bab42d92896d229cc0.png

3b5ec73d42ea445b93c0419a69f8f0db.png

7.再次访问DVWA

浏览器访问http://192.168.241.141/dvwa-master/

742b8b3ba6cd4c8bb5654562e7d21a58.png

72ed3e409cae4b17ade8bf44ee06c539.png

8.点击重置数据库生成页面

5cf7ddbb1954488996a3ac5bc5062772.png

fd191851f46d4623b1fe53b102e575c4.png

9.登录DVWA

输入用户名和密码:

Username: admin

Password: password

f8958b2c5c63443db73c90a01a9f2871.png

10.修改DVWA安全级别

将安全级别修改为low

10ddb31313fb44899463af1bcaee0ccb.png

feb96c77710949e68e6f12a0f5724d6d.png

5b0d87e1512a4aaa90d4e02610d196b5.png

2994f947ff7940d9aba24e76a002d085.png

11.通过kali也能正常访问DVWA

438280c52c544b4ea845440e4792d225.png

最后

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

img

img

img

img

img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

[外链图片转存中…(img-QRUWNibO-1715883877155)]

[外链图片转存中…(img-pA9k5GBq-1715883877156)]

[外链图片转存中…(img-n32Iyr6c-1715883877156)]

[外链图片转存中…(img-RieYhIB9-1715883877156)]

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

Web安全扫描工具搭建与使用(附扫描工具安装包)
悦分享
11-06 547
WebInspect也是一款比较常见的Web安全动态扫描工具,它的安全规则库由世界领先的Web安全专家每日维护和更新(与fortify同一个安全团队),有一些创新的评估技术,例如同步扫描和审核及并发应用程序扫描,快速准确地自动执行 Web 应用程序安全测试和 Web 服务安全测试。基于Java的Web代理的方式,用于评估Web应用程序漏洞。Nikto是一款专业的web服务器扫描工具,软件采用命令行的执行方式,可以对服务器进行快速的检测,从而发现潜在的危险以及CGI等问题,是网络管理人员的必备工具
最新kaliskipfish
vanony的博客
01-24 306
描述:   Web应用程序安全扫描程序。   skipfish是一种活动的Web应用程序安全侦察工具。 它通过执行递归爬网和基于字典的探针来为目标站点准备一个交互式站点地图。 然后,使用来自多个活动(但希望是非破坏性)安全检查的输出对结果映射进行注释。 该工具生成的最终报告旨在作为专业Web应用程序安全评估的基础。 选项摘要: 身份验证和访问选项: -A user:pass 使用指定的HTTP身份验证凭据 -F host=IP 假装“主机”解析为“ IP” -C name=val 将自
Kali-skipfish工具使用实验-Web应用安全扫描2.0整理版(包含DVWA)
qq_73680923的博客
04-25 2027
skipfish web应用安全扫描
毕业一年,从事运维感觉没有出路,如何转型更有前景?
Python_0011的博客
07-08 1529
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
kali之dns劫持实验
最新发布
tengyuehou的博客
04-05 342
3. 按 i 进入编辑模式,在这个文件倒数第二行添加一条记录,*代表所有,A代表地址,ip 为 kali 的 ip,意为访问所有网站都会被映射到攻击机,改完之后按 esc 键+”:wq”,保存并退出。2. 打开 kali 命令行,查找并编辑 etter.dns 文件(此文件为 ettercap 工具的 dns 文件)10. 开始攻击,打开靶机,访问任意网站,发现无法连接,执行 ping 发现响应地址全部变为攻击机 ip。1. 打开靶机与攻击机,查看其IP地址,确保两台主机在同一网段,且互相可以ping。
Kali linux 学习笔记(四十)Web渗透——扫描工具skipfish 2020.3.17
闵行小鱼塘
03-17 1136
扫描工具skipfish
Skipfish一键扫描网站漏洞(KALI工具系列三十四)
LNN0212的博客
07-01 873
Kali Linux 是一个功能强大、多才多艺的 Linux 发行版 ,广泛用于网络安全社区。它具有全面的预安装工具和功能集,使其成为安全测试、数字取证、事件响应和恶意软件分析的有效平台。作为使用者,你可以把它理解为一个特殊的Linux 发行版 ,集成了精心挑选的渗透测试和安全审计的工具,供渗透测试和安全设计人员使用,也可称之为平台或者框架。Skipfish是一个高效的 web 应用安全扫描器,常用于发现网站中的漏洞。使用 Skipfishweb 应用进行安全扫描,发现潜在的漏洞和安全问题。
Web应用主动侦测工具Skipfish
weixin_34311757的博客
08-10 173
2019独角兽企业重金招聘Python工程师标准>>> ...
Kali-WEB渗透-skipfish使用方法
lvwuwei的博客
05-03 1169
Kali——WEB渗透 学习web渗透过程中的心得体会以及知识点的整理,方便我自己查找,也希望可以和大家一起交流。 —— 扫描Skipfish—— skipfish:是一款由谷歌开发的实验性的主动WEB安全评估工具使用C语言编写,体量小但是功能齐全。特点是:递归爬站,基于字典的探测,速度较快(多路单线程,启发式自动内容探测),误报相对较低。 2.使用 (1).格式:skipfish [opti...
kali】33 WEB渗透——扫描工具Skipfish
(∪.∪ )...zzz的博客
11-30 2173
这里写自定义目录标题Skipfish1. Skipfish 简介2. Skipfish 基本操作默认扫描使用的字典指定字典 (-S)将目标网站特有的特征漏洞代码存到文件 (-W)3. 身份认证4. 提交用户名密码表单 Skipfish 1. Skipfish 简介 Skipfish是一款主动的Web应用程序安全侦察工具。它通过执行递归爬取和基于字典的探测来为目标站点准备交互式站点地图。最终的地图然后用来自许多活动(但希望是不中断的)安全检查的输出来注释。该工具生成的最终报告旨在作为专业Web应用程序安全评估
Kali工具库之skipfish
辰鬼的博客
05-17 570
Web应用程序安全扫描程序。 skipfish是一种活动的Web应用程序安全侦察工具。 它通过执行递归爬网和基于字典的探针来为目标站点准备一个交互式站点地图。 然后,使用来自多个活动(但希望是非破坏性)安全检查的输出对结果映射进行注释。 该工具生成的最终报告旨在作为专业Web应用程序安全评估的基础。 原文: SYNOPSIS skipfish [options] -o output-directory [ start-url | @url-file [ start-url2 ... ]] 意译: 选
skipfish基本使用
qq_56426046的博客
09-06 980
由谷歌创建的 Web 应用程序安全扫描程序,是一种活跃的 Web 应用程序安全侦察工具。它通过执行递归爬网和基于字典的探针为目标站点准备交互式站点扫描。然后使用许多活动(但希望无中断)安全检查的输出对结果映射进行注释。该工具生成的最终报告旨在作为专业 Web 应用程序安全评估的基础。纯 C 代码,高度优化的 HTTP 处理,最小的 CPU 占用空间 - 通过响应式目标轻松实现每秒2000 个请求;启发式支持各种古怪的 Web 框架和混合技术站点,具有自动学习功能,动态词表创建和表单自动完成;
Kali扫描 skipfish使用
胡乱写点什么
07-22 2390
Kali——WEB渗透(五) 学习web渗透过程中的心得体会以及知识点的整理,方便我自己查找,也希望可以和大家一起交流。 —— 扫描Skipfish—— skipfish:是一款由谷歌开发的实验性的主动WEB安全评估工具使用C语言编写,体量小但是功能齐全。特点是:递归爬站,基于字典的探测,速度较快(多路单线程,启发式自动内容探测),误报相对较低。 2.使用 (1).格式:skipfis...
skipfish使用
yangge03的博客
05-18 1244
1、安装所需软件库: yum install pcre-devel openssl-devel libidn-devel libidn2-devel 2、安装skipfish 下载源码skipfish # https://github.com/spinkham/skipfish ( http://code.google.com/p/skipfish/)获取源码,解压     执行ma
kali-skipfish工具使用实验(包含DVWA靶场搭建教程)
qq_73680923的博客
04-23 856
kaliskipfish工具使用
Kali Linux渗透测试 074 扫描工具-Skipfish
kevinhanser
03-05 3801
>本文记录 Kali Linux 2018.1 学习使用和渗透测试的详细过程,教程为安全牛课堂里的《Kali Linux 渗透测试》课程 > >1. Skipfish 简介 >2. Skipfish 基本操作 >3. 身份认证 >4. 提交用户名密码表单
使用Skipfish检测安全漏洞
jsvdb的博客
06-15 2080
Skipfish是一款开源的Web应用程序安全检测工具,主要功能包括主动扫描和被动扫描使用Skipfish可以快速地发现应用程序中的安全漏洞,比如SQL注入、XSS攻击、目录遍历等。以下是使用Skipfish检测安全漏洞时需要注意的一些要点:设置好扫描参数:在进行扫描之前,需要设置好扫描参数,包括扫描的目标URL、要排除的URL、线程数、扫描的深度等。关注扫描结果:Skipfish会输出扫描结果报告,需要仔细关注其中的漏洞信息,包括漏洞类型、漏洞描述、漏洞等级等。
skipfish试用
wei
06-30 277
一。简介 google的一款安全扫描工具,项目地址在http://code.google.com/p/skipfish/     A fully automated, active web application security reconnaissance tool. Key features: High speed: pure C code, highly optimized ...
kail系列skipfish的操作使用
weixin_44232687的博客
10-04 2125
未来的我,朦胧可见;脚下的路,灯火依稀。 ——杰 学习逆向工程的过程是枯燥的,需要我攻克的内容有很多,kail只是其中的一部分,在接下来的过程中,希望可以和大家一起学习 文章目录前言一、skipfish是什么?二、使用步骤1.开启skipfish2. 打开文件查看结果3.skipfish其他的指令总结 前言 Kali Linux是基于Debian的Linux发行版, 设计用于数字取证和渗透测试 和 黑客攻防。Kali预装了许多渗透测试软件,包括nmap、Wireshark 、Burp suitpe、M
kali漏洞分析工具使用
01-16
### Kali Linux 中漏洞分析工具使用 #### Nikto 使用方法 Nikto 是一款开源 Web 扫描器,能够执行全面的安全测试并识别常见的安全问题。 对于目标服务器的 HTTP 和 HTTPS 进行基本扫描可以通过如下命令实现: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值