漏洞扫面工具使用
工具简介
综合性web漏洞扫描器:AWVS、Netsparker、AppScan
一款优秀的漏洞扫描器是一批安全专家将自己积累的“测试手法”和“测试经验”自动化的产物,是宝贵的智慧结晶。
本节课老师是以AWVS为例来演示的
如何开始一个扫描任务?new scan 其他的选项在初学的时候默认就好了
扫描完成后的界面:下面是扫描日志文件、右边是扫描结果简报、中间位置是漏洞详情
扫描流程和基本原理
扫描配置与目标基本信息探测→爬虫模块:爬取目标站点的页面→调用各个漏洞探测模块进行具体的漏洞测试→漏扫结果记录和呈现
注意:爬虫、漏洞测试和结果呈现,这三个模块是并行运作的关系
漏洞扫描实践
步骤:
打开软件→点击new scan→选取目标站点→点击下一步直到完成(初学时各种配置默认就好)
菜单简单介绍:
File(新建爬取任务,保存/加载扫描结果)
Tools(各种工具导航)
Configuration(配置选线)
查看结果
在扫描结果直接点击即可,如果想要查看某一个的详情(右键打开HTTP Editor)
扫描结果中间部分展示的分别是:漏洞情况、中间是信息搜集、下面是爬虫爬取的信息。(选择之后再右侧会显示详细信息)
讨论与改进
问题1、使用漏扫工具需要明确的问题
- 对目标站点的误伤(例如:高流量、请求了危险功能(如删除数据库的功能))
- 漏洞扫描忙去:逻辑漏洞(如:订单金额数据篡改漏洞)
问题2、漏洞评级问题
- 技术角度+业务角度两个方向来判断(例如:弱口令漏洞,如果泄露的是低权限的可能问题不大,如果是高权限的就很危险了)
问题3、漏扫结果的解读和运用
- 测试用例可能需要调整(就是可能根据我们自己知识的调整才能触发漏洞)
- 误报与漏报(漏扫工具都存在这样的问题)
- 将扫描结果作为人工测试的线索(例如:扫描完毕没有报漏洞但是泄露了一些邮箱等)
对于漏扫工具的使用:尽信书则不如无书
小结
- 漏扫工具简介
- 漏扫实战与结果验证
- 问题讨论:如何恰当的使用工具
课后练习
- 登录后扫描
- 排除部分页面
- 多目标扫描
另外可以尝试使用其他漏扫工具
野兔
2019.2.21