1.Nikto2
用法 1:./nikto.pl -h 主机IP或域名 -o 扫描结果
0-检查文件上传页面
1-检查web日志中可疑的文件或者攻击
2-检查错误配置或默认文件
3-检查信息泄露问题
4-检查注射(XSS/Script/HTML)问题
5-远程文件索引(从内部根目录中检索是否存在不经授权可访问的
文件)
6-检查拒绝服务问题
7-远程文件索引(从任意位置检索是否存在不经授权可访问的文件 )
8-检查是否存在系统命令执行漏洞
9-检查SQL注入
a-检查认证绕过问题
b-识别安装的软件版本等
c-检查源代码泄露问题
简介:支持GUI和命令行两种界面
位置:/pentest/web/w3af
"login=admin&pwd=FUZZ" --hc 404
http://www.xxx.com/login.php
它可以扫描指定主机的WEB类型、主机名、特定目录、Cookie、特定CGI漏洞、XSS漏洞、sql、注入漏洞、返回主机允许的http方法等安全问题。
用法 1:./nikto.pl -h 主机IP或域名 -o 扫描结果
用法 2:./nikto.pl -h 主机IP或域名 -p 80,8080
(提示:方法2也可以在命令后面接上输出的文件名,将扫描结果保存下来)
用法 3:./nikto.pl -h 主机IP或域名 -T 扫描类型代码用法 4:./nikto.pl -h 主机IP或域名 -c -T
0-检查文件上传页面
1-检查web日志中可疑的文件或者攻击
2-检查错误配置或默认文件
3-检查信息泄露问题
4-检查注射(XSS/Script/HTML)问题
5-远程文件索引(从内部根目录中检索是否存在不经授权可访问的
文件)
6-检查拒绝服务问题
7-远程文件索引(从任意位置检索是否存在不经授权可访问的文件 )
8-检查是否存在系统命令执行漏洞
9-检查SQL注入
a-检查认证绕过问题
b-识别安装的软件版本等
c-检查源代码泄露问题
x-反向连接选项
简介:支持GUI和命令行两种界面
位置:/pentest/web/w3af
打开图形化界面:./w3af_gui
输入指令:./w3af_gui ,可启动图形化界面:
3. Wfuz:
简介:该工具所有功能都依赖于字典。位置:/pentest/web/wfuzz
http://www.xxx.com/FUZZ 2>ok.html
http://www.xxx.com/xxx.asp?id=FUZZ 2>ok.html
"login=admin&pwd=FUZZ" --hc 404
http://www.xxx.com/login.php