【安全牛学习笔记】Web扫描器(1)

最新推荐文章于 2024-04-29 21:40:48 发布
最新推荐文章于 2024-04-29 21:40:48 发布
阅读量372 收藏
点赞数
分类专栏: 安全,信息安全,漏洞扫描 文章标签: javascript xss 安全 服务器 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/edu_aqniu/article/details/73608550
版权

1.侦察
httrack可将目标网站的网页全部爬取下来,减少侦察过程中与目标服务器发生的交互。

2.Nikto(1).检测对象

扫描软件版本

搜索存在安全隐患的文件

配置漏洞

no404 避免404误判依据响应内容

去除时间信息取MD5(2).扫描命令

nikto-list-plugins

列出扫描插件

nikto-update

更新插件

nikto-hosthttp://1.1.1.1

指定主机扫描

nikto-host192.168.1.1-ssl-port443,8443,995指定主机及端口进行ssl的扫描
nikto-hosthost.txt
从文件读取扫描目标nmap-p80192.168.1.0/24-oG-|nikto-host-结合nmap使用nikto-host192.168.1.1-useproxyhttp://localhost:8087使用代理-vhost当一个ip地址指向多个虚拟主机时,需要用vhost参数-evasion躲避IDS

设置cookie
修改配置文件/etc/nikto.confSTATIC-COOKIE="cookie1"="cookievalue";"cookie2"="cookievalu”

扫描时查看详细内容

Space–reportcurrentscanstatusv–verbosemodeon/offd–debugmodeon/offe–errorreportingon/offp–progressreportingon/offr–redirectdisplayon/offc–cookiedisplayon/offa–authdisplayon/off

q–quitN–nexthostP-Pause

3.vega(1).模式

扫描模式代理模式

(2).功能

爬站,处理表单,注入测试支持ssl 

爱学习的小牛
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
《上海市数据条例》公布后,以下相关岗位正在变得很抢手
edu_aqniu的博客
12-01 1万+
11月25日上海市十五届人大常委会第三十七次会议表决通过《上海市数据条例》(以下简称《条例》,全文请见“阅读原文”),以促进数据利用和产业发展为基本定位,聚焦数据权益保障、数据流通利用、数据安全管理等三大环节,条例增加1个新名词:数据财产权益、1个最关注:个人信息特别保护,条例将于2022年1月1日起施行。 关于条例: 明确了数据处理是指数据的收集、存储、使用、加工、传输、共享、开放、流通等;数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。 上海
security+真的没有那么难考,我的信息安全分享
热门推荐
edu_aqniu的博客
08-01 1万+
前言 说起考security+这个认证考试还是比较尴尬的,因为根本没想过要考这个认证,但是现在想混安全界必须有几本证在手,没有证书很难找到高薪资的工作。而且相比CISP、CISSP而言,Security+的性价比还是很高的。很值得入门安全的小白去考这个认证。我从报名培训班到考出证书历时大约20天左右,其实难度不怎么高,毕竟还是偏理论的。只要你稳扎稳打,认真得学习了解每个知识概念,通过基本上没什么...
白帽汇龙专:Web扫描器的架构变迁之路
cuikaoji4979的博客
08-24 952
本文根据龙专老师于第九届中国数据库技术大会(DTCC 2018)的现场演讲《Web扫描器的架构变迁之路》内容整理而成。 讲师介绍: 龙专,白帽汇CTO。 2009年,加入...
安全学习笔记Web扫描器(2)
edu_aqniu的博客
06-23 273
skipfish 功能: 递归爬网基于字典探测 优点:速度快 多路单线程,全异步网络I/O,消除内存管理和调度开销启发式自动内容识别 误报较低命令: skipfish-otesthttp://1.1.1.1-o输出目录 skipfish-otest@url.txtskipfish-otest-Scomplet.wl-Wa.wl调用字典文件 -I: 检查包含指定字符串
网络安全学习笔记(1)
2301_77121488的博客
04-29 624
Web漏洞扫描过程1.17在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。
web安全学习笔记
weixin_38226321的博客
12-19 2004
web安全学习笔记1. 1. 首先在VMware Workstation Pro里面安装win7环境,然后下载phpstudy,进行安装。
Web安全学习笔记
11-03
2. Burp Suite:一款强大的Web应用安全测试工具,包括代理、扫描器、入侵者、序列化分析等功能。 3. ZAP(Zed Attack Proxy):自动化安全测试工具,可帮助识别潜在的漏洞。 四、安全编码与开发实践 1. 使用安全...
Python_Study Notes For Web Hacking Web安全学习笔记.zip
最新发布
05-24
7. Web应用扫描:Python可以用于编写自定义的Web扫描器,自动发现网站的漏洞。这涉及到网页爬虫技术,如BeautifulSoup和Scrapy库的使用。 8. 防御策略:除了攻击,学习如何防御同样重要。笔记可能会讨论Web应用...
兄弟连学习笔记
02-17
### 兄弟连学习笔记知识点总结 #### Linux基础命令学习 **知识点1:Find命令** - **find/**:从根目录开始查找。 - **find /etc -name "jiangwen"**:在/etc目录下查找名为jiangwen的文件。 - **find /etc -iname ...
springboot学习笔记.docx
04-08
例如,`spring-boot-starter-web`提供了Web开发的基础组件。 配置文件管理: - 默认的配置文件有 `application.properties` 和 `application.yml`,用于设置Spring Boot的应用参数。 - 可以通过 `@...
网络安全研究生渣渣的备考之路
edu_aqniu的博客
08-02 9561
本渣渣,在读研究生一名。主要研究领域是与网络安全相关,因此也算是有点基础。前不久刚考了Security+,也算是幸运,低分飘过,不敢说有什么经验,只是在这里跟大家分享一下我的一些心得吧。 1、此处非广告,因为自己对于security+前期没什么了解,只是从朋友那里听说这是个关于安全的认证考试,想着反正也没事儿就去考吧,此为考试动机。为了省去不必要的麻烦,其次也不想考多次(毕竟这个考试费对于学生来...
国内渗透认证CISP-PTE 备考攻略(含题型示例)
edu_aqniu的博客
12-29 6528
CISP-PTE 知识体系使用组件模块化的结构包括4个层次:知识类、知识体、知识域、知识子域
2021-2022年十类(30+)热门资质证书汇总分享
edu_aqniu的博客
10-27 5054
很多专业资格证书,让计划备考的人看的云里雾里,为大家汇总一份备考指南,融合近40门资质认证,分为十大类。大家可以结合自己的情况,规划一下自己的考证计划。 一 隐私和数据安全类 1、DPO(数据保护官) DPO不是一门单独的考试而是一种集成认证,即(PDPF、PDPP、ISO/IEC 27001-F)三证合一,发证机构EXIN。报名无学历和工作经验硬性要求,证书无需维持终身有效,周末直播无需请假,线上培训随堂考试。DPO里的三门课程可以按需单考。适合所有GDPR中定义的需要了解数据保护和欧洲相关法律要求
你了解数据保护官(DPO)吗?
edu_aqniu的博客
07-29 4165
大数据时代,在充分挖掘和发挥大数据价值的同时,解决好数据安全与个人信息保护等问题刻不容缓,合规是企业发展的第一考虑因素。 个人信息保护既包括了传统信息安全的知识体系,也包含了法律法规及标准的知识内容。作为新一代的信息技术、信息安全或法务人员,需要需要全面学习了解对个人信息保护及合规的知识,以便迎接即将到来的个人信息保护与合规时代。 根据GDPR要求,核心活动涉及处理或存储大量的欧盟公民数据、处理或存储特殊类别的个人数据(健康记录、犯罪记录)的组织必须指定数据保护官DPO。 DPO主要负责就GDPR规定
CISA国内IT审计行业的“上岗证”
edu_aqniu的博客
12-15 3603
近日,美国知名的IT媒体CIO Insight通过衡量证书的价值和含金量评选出了2021年度7大最佳IT证书,CISA证书名列第二。 CISA国际注册信息系统审计师证书自1978年推出以来,已经有超过150,000名专业人士通过考试认证。无论是企业的招聘经理,还是商业和政府机构都对CISA持证人员求贤若渴,全球专业人士都将CISA视为IS/IT认证的“黄金标准”。 CISA作为信息系统管理与安全首选认证,一直名列“薪资最高证书之列”,是全球最受追捧证书之一,被誉为国内IT审计行业的“上岗证”,.
新形势下,零信任安全市场是否会迎来大爆发
edu_aqniu的博客
10-28 3494
近日,Ericom(零信任安全访问解决方案提供商)发布2021年零信任安全市场调查报告,大多数安全专业人士表示,零信任是其网络安全的核心运营战略。超半数的安全专业人员表示,其所在企业采用零信任安全方案来实现更主动的安全防御,从而保护其核心业务运营。 传统安全边界防御模式在现代企业安全威胁态势和业务需求的双重重压下备受挑战,而零信任技术则成为突破传统安全防御架构瓶颈,探索新基建网络安全建设的重要理念和实践。此外,美国国防部日前被授权转向使用零信任安全框架,这标志着零信任已经成为主要政府机构的全球网络战略要求
CompTIA美国计算机协会的热门认证一览
edu_aqniu的博客
08-09 3422
CompTIA A+ 认证是对技术人员完成一些工作的能力进行确认,例如:安装、配置、故障诊断、定期维护和基础组网等。该考试还涉及了网络安全、人员及设备安全和环境问题,以及用于客户服务时的沟通技巧等领域。...
SpringBoot学习笔记:从入门到精通
"springboot课堂笔记,如果觉得好给我留言要教学视频" 在本文中,我们将深入探讨Spring Boot这一流行的Java框架,并基于提供的课堂笔记内容,分析其发展历程、核心概念以及如何进行快速入门。Spring Boot是由...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值