一:云环境web漏洞扫描
利用WVS进行漏洞扫描
了解web漏洞扫描原理
掌握Acunetix WVS漏洞扫描器的基本使用方法
利用Acunetix WVS扫描器完成对测试网站的基本扫描测试,并能通过扫描结果评估网站的安全性
二:云端web漏洞手工检测分析
任务一:
了解常见web漏洞及其攻击原理
了解Burp Suite的基本功能以及Proxy功能
掌握Burp Suite软件中Proxy代理及手动配置功能的应用
配置Burp Suite的Proxy选项卡并设置本机浏览器代理,同时测试对目标网站的连接访问
任务二:
掌握Burp Suite Target的功能
使用Burp Suite Target功能搜索目标漏洞
任务三:
掌握Burp Suite Spider 功能
掌握Burp Suite Spider 功能配置与应用
任务四:
掌握Burp Suite Scanner在web应用程序测试中的功能
能够使用Burp Suite Scanner对指定的web应用进行漏洞测试并分析测试结果
任务五:
掌握Burp Suite Intruder在网站漏洞爆破中的应用
掌握Burp Suite Intruder的各种功能配置
使用Burp Suite Intruder对网站漏洞进行爆破测试
一:云环境web漏洞扫描
安装window-2008虚拟机
安装Acunetix WVS漏洞扫描器
能够访问Internet
二:云端web漏洞手工检测分析
在VMware中创建Windows Server 2008 与kali Linux虚拟机,并配置这两台虚拟机以构成局域网
在Windows Server 2008 虚拟机中配置IIS,并创建好测试网站dvwa
一:新建虚拟机(Windows)
1.新建Windows service 2008
二:Acunetix web vulnerablility scanner 安装
1.点击安装包进行安装
三:安装破解工具
1.破解工具
3.扫描配置
4.设置自动登录
-
- 查看扫描结果
任务一:Burp Suite 基础Proxy功能
1.在kali虚拟机中打开Burp SUite 工具并设置
- 查看扫描结果
2.启动kali虚拟机中的浏览器,单击右上角的菜单按钮,选项Preferences,打开连接设置对话框,进行手动代理设置
4.在kali中打开“intercept”子选项卡,开启数据包连接功能
5.在Burp Suite中单击“Forward”按钮,查看拦截的数据
任务二:Burp Suite Target功能
1.启动Burp Suite,打开“Target”,选择“Site Map”
2.将这个网址设置到目标范围
3.Target Scope目标域规则设置,编辑包含规则或去除规则
任务三:Burp Suite Spider功能
1.选中要测试的页面链接,右击目标网站地址,选中“Spider this host ”命令
2.对“Spider”选项卡下的Options 子选项卡的有关选项取默认配置
3.显示已经请求数量、字节传输量、爬虫范围等信息
任务四:Burp Suite Scanner功能
1.启动Burp Suite,正确配置Burp Proxy并设置浏览器代理在“Target”选项卡的“Site map”子选项卡中配置好需要扫描的域和URL模块路径,右击需要扫描的站点,选择快捷菜单中的“Actively Scan this host ”命令
2.打开主动扫描配置向导,选择是否移除有关的页面项
3.继续对扫描项进行配置,将不需要扫描的网址移除,以提高扫描效率
4.对攻击插入点进行配置
5.查看当前扫描的进度
6.配置主动扫描与被动扫描
7.优化扫描选项,对选项进行设置,指定哪些类型的文件不在扫描范围内
8.选择需要添加的网址,将该网址添加到作用域中,然后进行自动扫描
9.Burp Scanner 将自动扫描经过Burp Proxy 的交互信息
10.查看扫描结果
任务五:Burp Suite Intruder爆破应用
1.启动Burp Suite,按照任务一的介绍完成代理配置
2.用浏览器访问网站,以渗透测试系统dvwa 为靶机站点
3.打开登录界面,输入录账户及密码(随意输入密码)
4.单击login 按钮,并在Burp Suite中截取登录数据
5.选中所有数据并在右键快捷菜单中选择“Send to intruder”
6.对爆破变量进行配置
7.对自动标记的变量进行爆破
8.对爆破变量所需的密码文件进行配置
9.设置完成后,选择“Start attack”
10.在爆破结果中,对密码文件中的密码进行逐个测试
11.以admin为账号,password为口令进行登录验证