网络攻防之——WEB漏洞扫描

cadaver

这个工具是一个用来浏览和修改WebDAV共享的Unix命令行程序。这种工具就是以一种客户端,命令行的格式链接webdav

DAVtest

测试对支持WebDAV的服务器上传文件等

语法:davtest -url http://222.28.136.226/dav/

deblaze

针对FLASH远程调用等的枚举,一般在xss或者较深入的web安全中可能会用到

Fimap

文件包含漏洞利用工具

Grabber

Grabber是一个WEB应用漏洞扫描器,可以指定扫描漏洞类型结合爬虫对网站进行安全扫描

joomscan

类似于Wpscan的扫描器,针对特定CMS

SkipFish

skipfish是谷歌出品的一款自动化的网络安全扫描工具,与Nikto,Nessus等工具有相似的功能。它的语法如下:
这里写图片描述
执行完之后开始发包扫描
这里写图片描述
扫描结束之后,打开之前创建的report123目录,在目录下找到index.html文件,用浏览器打开,就可以看到这个页面
这里写图片描述

uniscan

这个工具可以勾选一些选项,然后加上url,然后直接开始扫描就行了

这里写图片描述

W3AF

w3af是一个web应用程序攻击和检查框架,包括检查网站爬虫,SQL注入,跨站(XSS),本地文件包含(LFI),远程文件包含(RFI)等。该项目的目标是要建立一个框架,以寻找和开发web应用安全漏洞,所以很容易使用和扩展
这里写图片描述

wapiti

wapiti的工作方式与nikto类似,也采用黑盒的方式主动对被测web应用进行扫描,寻找其中潜在的安全缺陷。

它扫描的方式就是,python wapiti.py http://www.xxxxxx.com -v 2

webshag

一个综合性的调用框架,可以调用Nmap,UScan,信息收集,爬虫等功能,是扫描过程更简单

websploit

主要用于远程扫描和分析系统漏洞,使用它可以非常容易和快速发现系统中存在的问题,并用于深入分析

阅读更多
个人分类: 网络攻防
想对作者说点什么? 我来说一句

没有更多推荐了,返回首页

关闭
关闭
关闭