渗透测试学习(二)-漏洞扫描

最新推荐文章于 2024-05-15 09:15:00 发布
最新推荐文章于 2024-05-15 09:15:00 发布
阅读量1k 收藏 1
点赞数
分类专栏: 渗透测试学习 文章标签: 学习 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53933413/article/details/128053735
版权

漏洞扫描-使用扫描器进行的扫描

awvs-nessus安装-采用docker安装

  1. 安装docker-一下位centos安装命令
    curl -s https://get.docker.com/ | sh
    systemctl restart docker--启动docker
    #添加源
    vim /etc/docker/daemon.json
    {
    "registry-mirrors" : [
    "https://docker.mirrors.ustc.edu.cn" ,
    "http://hub-mirror.c.163.com"
    ]
    }
    systemctl daemon-reload
    systemctl restart docker
    docker info # 在 Registry Mirrors: 中可以看到添加的源表示成功
  2. 安装awvs、nessus
    docker pull leishianquan/awvs-nessus:v4 -拉取镜像​​​​​​​
    docker run -it -d --name = "nessus-awvs" -p 13443 :3443 -p 18834 :8834 leishianquan/awvs
    nessus:v4 
    docker ps -a
    docker start nessus-awvs
    #nessus需要⼿动启动​​​​​​​
    docker exec -it nessus-awvs /bin/bash
    /etc/init.d/nessusd start
    #     awvs 完成破解
    cp /home/license_info.json /home/acunetix/.acunetix/data/license/
    chmod 444 license_info.json
  3. 安装完成,可以通过对应IP+端口访问
    nessus username:leishi
    nessus password:leishianquan
    awvs13 username: leishi@leishi.com
    awvs13 password: Leishi123

     

1.nessus

主要是针对主机进行扫描

会有很多的模板,也可以对web进行扫描,但是扫描的结果就不如awvs全和多。

2.awvs

针对web进行的扫描

需要注意的是,设置登录的时候,有两钟情况

1.输入对应url,用户名和密码

        这种的会有一个问题,就拿dvwa靶场来说,如果你只想扫描中级的,在你提交了安全等级之后,扫描器还是会将所有的等级都做扫描,就是说扫描器并不会记录你的状态

2.录制一个登录过程,

        同样是dvwa,你就可以直接录制到登陆后提交了安全等级,那么扫描器就会只扫描你提交了的安全等级。

此外,awvs的扫描报告不是很准确,需要人工去对每个漏洞进行判断,重新整理

3.burpsuite

主动扫描和被动扫描,被动扫描是它主打的,毕竟他首先是一个非常优秀的抓包工具

1.浏览器开启代理配置相应的IP与端口
2.burpsuite开启代理
3.配置burpsuite的scannerr的选项为scan everything。

4.访问目标Web站点,burpsuite拦截数据包,右击选择Do an active scan。

5.查看扫描结果。
 

漏扫报告

1.需要对扫描出来的漏洞进行验证-扫描器存在误报的问题

        验证方式:针对web的,可以通过burp-使用扫描器的payload进行验证,即发送payload数据包,查看回显

2.验证流程截图,保证清晰

3.修复建议,需要仔细 思考

xxegs
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
记录一次使用AWVS对DVWA进行漏扫
weixin_45605352的博客
03-17 3437
记录一次使用AWVS对DVWA进行漏扫 在目标菜单中添加DVWA的网址,填写备注: 注意这里不能填写login.php,稍后进行配置 选择Site Login下的Use pre-recorded login sequence,点击Launch Login Sequence Recorder,选择新建: 在LSR中输入DVWA的凭据: 单机下一步选择右侧面板上的图标,在下面的限制字段中输入以下内容: GET http://10.10.10.137/i/DVWA-master/login.php HT
Nessus 扫描web服务
Innocence_0的博客
07-11 3409
1.启动nessus2.进入nessus网站3.点击【New Scan】4.点击【Web应用程序测试】5.输入name【web扫描】,描述【web扫描】,目标【127.0.0.1】6.点击【发现】7.选择扫描类型【端口扫描(常用端口)】8.点击【评估】9.扫描类型选择【扫描所有web漏洞(快速)】10.点击【证书】11.点击【HTTP】12.选择身份验证方法【自动认证】13.输入用户名【xiaogang】,密码【123456】(需要扫描网站的用户名和密码)14.点击【插件】
漏洞靶场实战-Vuluhub medium_socnet
最新发布
qq_44005305的博客
05-15 815
Vulnhub 是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地 VM 打开即可,但是很多靶场不兼容 Vmware 比如本次用的靶场就不兼容,所以推荐 VirtualBox下载的是一个 ovf 后缀的文件,打开 VirtualBox,导入导入完毕后根据需求编辑虚拟机设置。
漏洞扫描技术
m0_65471360的博客
06-25 1551
在现代网络安全中,漏洞扫描是一个关键的安全问题。漏洞扫描是指利用一系列的程序、方法和技术对被测系统或信息系统进行全面的检查,并根据发现的漏洞信息,采用适当的方法,向用户提供有关安全信息和解决安全问题的建议。漏洞扫描的目的是为了查找系统、信息系统存在的安全漏洞。目前,国内大多数单位都采用静态和动态两种方式进行漏洞扫描。静态扫描是指利用事先编写好的程序和相应的测试模板,对被测系统或信息系统进行全面的检查,得出系统或信息系统存在漏洞、缺陷或不足等结论;
漏洞扫描是什么?什么工具及有哪些特征
白帽黑客佳哥的博客
12-06 1244
作为一名资深网络安全专家,我在漏洞扫描领域有着丰富的实战经验。在这篇教程中,我将分享漏洞扫描的流程、分类、标准、方法、工具和案例解析,下午对一些新入行的同学有些帮助鸭。
【网络安全技术】——漏洞扫描学习笔记)
HinsCoder的博客
04-10 1614
随着技术的不断进步,漏洞的发掘水平和速度在快速提高,与此同时,漏洞的利用技术也在不断发展,尤其是利用安全漏洞的网络攻击事件频繁发生,正在遭遇一场前所未有的漏洞危机。
10种用于渗透测试漏洞扫描工具有哪些_渗透测试漏洞扫描区别
Y525698136的博客
05-05 3668
[漏洞扫描]程序可连续和自动扫描,可以扫描网络中是否存在潜在漏洞。帮助It部门识别互联网或任何设备上的漏洞,并手动或自动修复它。
42-42.渗透测试-漏洞扫描原理.mp4
05-10
42-42.渗透测试-漏洞扫描原理.mp4
E002-渗透测试常用工具-使用Nessus扫描操作系统漏洞.pdf
12-02
E002-渗透测试常用工具-使用Nessus扫描操作系统漏洞
电力行业+网络安全+渗透测试+漏洞扫描
08-16
伴随着互联网技术的普及与应用,网络安全问题已经上升到国家安全的层次;放眼世界,近些年电力、石油、汽车制造的等基础性行业遭到网络入侵的事件屡见不鲜,可以说没有网络安全就没有国家安全。...
43-43.渗透测试-常见的漏洞扫描工具
05-10
43-43.渗透测试-常见的漏洞扫描工具
49-49.渗透测试-Kali Linux漏洞扫描.mp4
05-10
49-49.渗透测试-Kali Linux漏洞扫描.mp4
漏洞扫描工具大全,零基础入门挖漏洞必知必会
youmaob的博客
01-24 1637
漏洞扫描工具大全,零基础入门挖漏洞必知必会
5 款漏洞扫描工具:实用、强力、全面(含开源)
热门推荐
YF云飞的博客
08-03 4万+
5 款实用漏洞扫描工具概述&安装
漏洞扫描工具(一)
weixin_52766206的博客
08-03 5304
关于Fscan和Kscan的简单介绍
漏洞扫描(又称漏洞侦测)
weixin_40191861的博客
05-03 658
漏洞扫描一般采用一种规范的方法,通过对系统或网络设备、软件、编程语言等进行检查,来确定它们是否有潜在的漏洞和安全性弱点。根据漏洞的复杂程度和系统的安全程度,漏洞所测可被分为应用程序漏洞、操作系统漏洞、服务器设备漏洞和网络设备漏洞等。漏洞扫描,又称漏洞侦测,也称为“漏洞脆弱性检测”,是指一种网络安全手段,通过识别操作系统、网络服务、软件和其他系统中的漏洞,以提高组织的网络安全漏洞扫描可以帮助管理者识别系统中潜在的弱点,从而有效地提升网络安全,并及时更新相应的补丁,减少恶意软件入侵和病毒攻击的风险。
什么是安全漏洞扫描
2301_76161259的博客
04-08 903
从互联网兴起至今,利用漏洞攻击的网络安全事件不断,并且呈日趋严重的态势。每年全球因漏洞导致的经济损失巨大并且在逐年增加,漏洞已经成为危害互联网的罪魁祸首之一,也成了万众瞩目的焦点。安全漏洞扫描是一种针对系统、设备、应用的漏洞进行自动化检测、评估到管理的过程,广泛应用于信息系统安全建设和维护工作,是评估与度量信息系统风险的一种基础手段。
开展网络安全漏洞扫描的10个关键步骤(附零基础如何自学入门网络安全
2302_76672693的博客
07-27 1155
开展网络安全漏洞扫描的10个关键步骤(附零基础如何自学入门网络安全
渗透测试漏洞扫描工具
10-11
目前比较流行的渗透测试漏洞扫描工具有很多,比如Nessus、OpenVAS、Nmap等等。这些工具可以帮助渗透测试人员快速发现目标系统的漏洞,并给出相应的建议和修复措施。 其中,Nessus是一款商业化的漏洞扫描工具,可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值