目录
1、KALI LINUX 简介
Kali Linux 是一个功能强大、多才多艺的 Linux 发行版 ,广泛用于网络安全社区。它具有全面的预安装工具和功能集,使其成为安全测试、数字取证、事件响应和恶意软件分析的有效平台。
作为使用者,你可以把它理解为一个特殊的Linux 发行版 ,集成了精心挑选的渗透测试和安全审计的工具,供渗透测试和安全设计人员使用,也可称之为平台或者框架。
2、Wfuzz工具介绍
WFuzz 是一个用来进行网络应用安全测试的工具,尤其擅长进行模糊测试。WFuzz 可以用于检测和利用Web应用程序中的各种漏洞,如SQL注入、跨站脚本(XSS)等。
3、信息收集
3.1 目标IP
这里的目标IP可以是本地部署的网站。
3.2 kali的IP
为了后面正常使用管理员权限,提前进入管理员模式,输入kali的密码,安装时候没有设置密码的一般是kal
sudo -i
查看kali的IP地址
ifconfig
4、操作步骤
4.1 测试sql注入
wfuzz -c -z file,/usr/share/wfuzz/wordlist/Injections/SQL.txt -d "username=FUZZ&password=password" --hc 302 http://example.com/login
4.2 测试XSS漏洞
wfuzz -c -z file,/usr/share/wfuzz/wordlist/Injections/XSS.txt --hc 404 http://example.com
4.3 结果分析
WFuzz 的输出将显示每个请求的响应代码、响应长度等信息。你需要关注响应长度的变化、状态码的变化或者特定字符串的出现,以确定潜在的漏洞。
5、总结
WFuzz 是一个功能强大的模糊测试工具,适用于各种Web应用安全测试。通过配置不同的负载文件和选项,可以针对特定类型的漏洞进行测试。