Nessus:测试web系统是否存在xss漏洞_20190228_七侠镇莫尛貝

最新推荐文章于 2024-08-01 13:42:59 发布
最新推荐文章于 2024-08-01 13:42:59 发布
阅读量2.7k 收藏 7
点赞数 2
分类专栏: 网络安全 七侠镇网络安全总指挥部
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kimqcn4/article/details/88027552
版权

1.Nessus安装过程:

参考:https://blog.csdn.net/n994298535/article/details/84855382

2.做一个简单的存在xss漏洞的web应用。访问地址:http://192.168.100.230:41580/xss

参考:https://blog.csdn.net/u012114090/article/details/81070214

index.html:

<HTML>
        <HEAD>
                <TITLE>xss Test Demo</TITLE>
                <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
        </HEAD>
        <BODY>
                本页演示的是在客户端对表单提交xss测试代码,然后提交到服务端print出来
                <br>参考:https://blog.csdn.net/u012114090/article/details/81070214
                <hr />
                <form name="SignForm" method="post" action="verifySignature.jsp">
                        <table>
                                <tr>
                                        <td>
                                        <textarea name="ToSign" cols="60" rows="10">"/><script>alert(document.cookie)</script><!-</t
extarea>
                                        </td>
                                </tr>
                        </table>

                        <br>
                        <input name="submit" type="submit" value="服务端验证签名">
                </form>
        </BODY>
</HTML>

verifySignature.jsp:

<%@page language="java" pageEncoding="UTF-8"%>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
        <head>
                <TITLE>xss Test Demo</TITLE>
                <meta http-equiv="pragma" content="no-cache">
                <meta http-equiv="cache-control" content="no-cache">
                <meta http-equiv="expires" content="0">
                <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
        </head>
        <body>
                <%
                        String toSign = request.getParameter("ToSign");
                        out.println("提取原文=" + toSign  );
                        out.println("<br/><br/><textarea name='ToSign' cols='120' rows='10'>" + toSign + "</textarea>"  + "<br/>");
                %>
                <br>
                如果系统存在xss漏洞,则本页面会有alert弹出。
        </body>
</html>

3.Nessus新增一个web application Test型Scan:

配置IP:

配置端口:

配置应用入口:

其他配置默认。

4.开跑:

5.结果:很快,三两分钟就出报告了。

点进去看漏洞在哪里,如何复现,如何补洞,贴心。

6.如果业务系统比较复杂,须登陆后才允许访问更多页面,则配置好登陆信息。

这次扫描时间明显长了很多。有新的发现:

7.待补充。

 

七侠镇莫尛貝大侠2023
关注
专栏目录
安全渗透测试基础之漏洞扫描工具之Nessus使用介绍
热心的布丁-有计划的自学编程才会成功
09-30 1025
在当今数字化时代,网络安全成为了至关重要的议题。为了保护我们的系统和数据免受潜在的威胁,我们需要借助先进的工具和技术。而其中一款备受赞誉的网络安全工具就是 Nessus。 本文将带领您进入 Nessus 的令人惊叹的世界,向您展示如何轻松安装和使用该强大的扫描工具。无论您是一名网络安全专业人士、系统管理员,还是对网络安全感兴趣的新手,本文都将为您提供全面的指导。 首先,我们将介绍 Nessus 的优势和功能,深入了解其如何成为发现漏洞和脆弱性的利器。
web扫描器之Nessus
马赛克的博客
12-01 9926
一:前言 该工具支持系统漏洞扫描与分析软件(基于插件技术) 前面提到的awvs和appscan扫描软件基于漏洞匹配方法 二:安装      1. linux:参考下面这两篇文章(折腾老长时间没成功)               https://blog.csdn.net/qq_35983015/article/details/79325463               https:/...
Nessus扫描Web应用漏洞
weixin_34329187的博客
09-14 3186
  在此前的文章中,游侠谈到过 [免费网络和主机漏洞评估程序Nessus 4.2.0安装试用],可能有朋友注意到,Nessus只是扫描主机、网络设备等的漏洞,而对于目前相当流行的Web应用安全漏洞没有涉及,其实Nessus是有此项设置的,不过默认没有打开——理由是会延长扫描时间……游侠感觉还是有必要说一下的。   Nessus可以扫描的Web应用安全项目包括:   ·SQ...
渗透测试神器Nessus使用教程「建议收藏」
最新发布
abao6690的博客
08-01 746
渗透测试神器Nessus使用教程「建议收藏」
Nessus扫描Web Application
Fanxil的博客
03-18 362
Nessus扫描Web Application
Nessus导入Cookie进行Web应用安全扫描
dcx3291777的博客
06-27 867
在不导入Cookie使用Nessus进行扫描的时候,扫描的结果是比较简单的,很多深层的问题无法被扫描出来。 需要我们手动导入Cookie,带着Cookie的状态扫描的结果会更详细更深入,以下是操作步骤: 在网站登录状态下,在浏览器地址栏输入document.cookie将光标移至行首手动输入javascript:完整格式如下: javascript:document.c...
Nessus 扫描web服务
liuhyusb的博客
12-30 1097
1.启动nessus2.进入nessus网站3.点击【New Scan】4.点击【Web应用程序测试】5.输入name【web扫描】,描述【web扫描】,目标【127.0.0.1】6.点击【发现】7.选择扫描类型【端口扫描(常用端口)】8.点击【评估】9.扫描类型选择【扫描所有web漏洞(快速)】10.点击【证书】11.点击【HTTP】12.选择身份验证方法【自动认证】13.输入用户名【xiaogang】,密码【123456】(需要扫描网站的用户名和密码)14.点击【插件】
XSS利用与挖掘-_更新版.rar_Exploit_XSS_XSS 利用_pkav_web exploit
09-23
4. **浏览器插件利用**:某些浏览器插件存在XSS漏洞,攻击者可以通过XSS注入指令,控制插件执行恶意行为。 5. **社交工程**:结合XSS与社会工程学,制造信任感,诱骗用户执行特定操作。 **XSS的挖掘技术**: 1. *...
fck漏洞源码_fckflash_fck_WEB安全_渗透_nan_
09-30
6. **模拟攻击**:使用渗透测试工具(如Burp Suite、Nessus等)尝试利用可能的漏洞。 通过这样的学习,你可以不仅了解FCKeditor的工作原理,还能掌握Web应用安全的基本技能,这对于成为一名合格的网络安全专业人员...
WEB代码审计与渗透测试.rar_web审计_代码审计_渗透
09-23
**WEB代码审计与渗透测试详解** 在网络安全领域,WEB代码审计和渗透测试是至关重要的环节,它们确保了网站和应用程序的安全性,防止恶意攻击和数据泄露。本资料集"WEB代码审计与渗透测试.rar"专注于这两方面的实践...
关于Web安全测试操作指导书_华为v1.0的分析说明.zip
11-05
2. **测试流程**:指导书中应详细介绍了Web安全测试的整个过程,包括测试前的准备(理解应用程序架构、确定测试范围、创建测试计划)、执行测试(黑盒测试、白盒测试、灰盒测试的运用)以及测试后的漏洞报告和修复...
Nessus 漏洞扫描与分析软件
qq_53058639的博客
03-01 1359
最近攻击机一直无法成功利用靶机暴露出来的漏洞,怀疑是旧漏洞利用软件的问题,使用了当前流行的 Nessus 扫描软件,果然如此。本章介绍 Nessus软件的安装和使用。之前使用了大佬 21superman的漏洞利用软件扫描自己搭建的靶机,不确定是否有这个漏洞(毕竟github已经找不到该软件),攻击机一直无法成功。使用了本章介绍了 Nessus软件,确实很全面且一直在更新漏洞库,推荐给大家的同时也方便自己做记录。接下来我将给各位同学划分一张学习计划表!
【网络攻防课实验】六:漏洞扫描之Nessus
野原新之助
04-06 4226
漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测(渗透攻击)行为。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值