WEB漏洞测试(一)——工具使用

最新推荐文章于 2024-05-10 09:15:00 发布
最新推荐文章于 2024-05-10 09:15:00 发布
阅读量2.2k 收藏 6
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28241149/article/details/79377980
版权

本篇章主要讲下后续的web漏洞的测试学习中用到的主要工具——bwAPP

首先下载安装:

https://sourceforge.net/projects/bwapp/files/bee-box/

https://sourceforge.net/projects/bwapp/files/bWAPP/

分别下载虚拟机版(上面)和源码版(下面)


然后解压虚拟机版,发觉有很多文件


用VMware去打开那个vmx文件,然后就可以使用了

在桌面点击start,然后账号bee,密码bug


可以测试它提供的多个漏洞,并选择防护代码的级别(low、medium、high)


然后解压源码版,在BWAPP文件夹下可以看到很多的php源码文件

主目录下一大堆对应了每一种漏洞,自己对照着阅读即可

其中:

function htmli($data)
{
         
    switch($_COOKIE["security_level"])
    {
        
        case "0" : 
            
            $data = no_check($data);            
            break;
        
        case "1" :
            
            $data = xss_check_1($data);
            break;
        
        case "2" :            
                       
            $data = xss_check_3($data);            
            break;
        
        default : 
            
            $data = no_check($data);            
            break;

这里就是根据防护级别的分类,每个漏洞源码都有,建议使用类似于PHPstorm的ide,方便点击阅读。


over

Debuger_工藤胖一
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
扫描web漏洞工具
03-25
Acunetix Web Vulnerability Scanner 最新版本扫描工具,安全web漏洞扫描工具,非常好用。 web漏洞扫描,
web安全——手动测试
11-25
安全测试常用工具扫描进行,本次讲解内容是针对手动安全测试,包括常见关注点,三大漏洞:sql注入,xss攻击,文件上传漏洞等内容,可以方便测试人员在平时测试时就能手动测试安全问题
网站漏洞测试工具
一杯咖啡的博客
11-09 8640
非常好用的几款测试工具 工具名称 工具用途 工具来源 Burpsuite 用于攻击web 应用程序的集成平台 https://portswigger.net/burp/ SQLmap 自动化的检测SQL注入漏洞测试工具 http://sqlmap.org/ Nmap 端口嗅探工具 https://nmap.org/ WireShark 数据分析工具 https://www.wireshark.org AWVS 自动化Web应用程序安全测试工具 https://www.acun
10大漏洞评估和渗透测试工具
最新发布
weixin_51725318的博客
05-10 833
10大漏洞评估和渗透测试工具
2022-渗透测试-推荐一款好用的网站漏洞扫描工具-WPscan
保持微笑的博客
02-02 3166
目录 WPscan简介 WPscan工具利用 查看帮助信息 更新漏洞库 扫描WordPress漏洞 扫描wordpress用户 扫描所使用的主题和漏洞 指定字典暴力破解密码 WPscan简介 WPScan是Kali Linux默认自带的一款漏洞扫描工具,它可以全面检查wp网站的漏洞,从而能够及时应对修补漏洞避免被黑掉的危险。同时还可以实现对未加防护的Wordpress站点暴力破解用户名密码。 WPscan工具利用 查看帮助信息 wpscan -h 更新漏洞库 wps.
web漏洞测试(一)
tikiyou的博客
05-08 225
web漏洞测试 同事的一个网站要对外使用,由于以前发生过被黑的事情,所以这次让我们做一下web漏洞测试,在网上找了找相关的工具,基本都说如下三种强大,Nessus、Acunetix(AWVS)、brup suite,同事使用Nessus做了一个生产检查,我则用AWVS做了一下本地开发测试,选择了扫描本地安装的XAMPP的Apache缺省网站,信息如下: 前两个小时运行很快,进度到了95%,以为很快能结束呢, 1000多分钟了,还是98% 完全扫描花费了近1200分钟,这是20个小时啊,完全扫描真是内容
10大Web漏洞扫描工具
Sumarua的博客
05-17 1647
Web scan tool 推荐10大Web漏洞扫描程序 Nikto 这是一个开源的Web服务器扫描程序,它可以对Web服务器的多种项目(包括3500个潜在的危险文件/CGI,以及超过900个服务器版本,还有250多个服务器上的版本特定问题)进行全面的测试。其扫描项目和插件经常更新并且可以自动更新(如果需要的话)。 Nikto可以在尽可能短的周期内测试你的Web服务器,这在其日志文件中相当明显。不过,如果你想试验一下(或者测试你的IDS系统),它也可以支持LibWhisker的反IDS方法。 https:/
WEB渗透——新手入门之初级工具利用
01-16
总之,"WEB渗透——新手入门之初级工具利用"这一主题涵盖了网络安全基础、Web应用漏洞识别和利用的一系列知识。初学者应从掌握基础工具开始,逐步深入到更复杂的渗透测试技巧,始终保持对安全的最佳实践的理解和应用...
Linux下WEB 测试工具
11-03
本文将详细介绍两种常用的Web服务器扫描工具——http_load和webbench,它们可以帮助你进行漏洞扫描和站点维护。 首先,http_load是一款轻量级的Web服务器性能测试工具,它可以并行复用的方式运行,以测试服务器的...
渗透测试工具CS-插件
03-21
通常,这样的工具会专注于某个特定的安全测试领域,比如Web应用漏洞扫描、密码破解、网络侦察或社会工程学等。用户可能需要查阅官方文档或社区资源以了解其详细用途。 3. **taowu**:同样,"taowu"也可能是CS平台的...
菜鸟浅谈——web安全测试(专为小白提供)
12-26
web安全测试 本文仅为小白了解安全测试提供帮助 一、安全测试注意事项 二、web介绍 三、浏览器 四、需要了解的知识 五、安全测试工具 六、常见的安全漏洞
网络安全 | 使用WebGoa用于进行web漏洞实验
Tinywan
04-17 386
简介 WebGoat是OWASP组织研制出的用于进行web漏洞实验的Java靶场程序,用来说明web应用中存在的安全漏洞WebGoat运行在带有java虚拟机的平台之上,当前提供的训练课程有30多个,其中包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、web服务、Open Authenticati...
web安全---文件上传漏洞实验
weixin_42540999的博客
07-10 1442
实验环境 目标靶机:OWASP_Broken_Eeb_Apps_VM_1.2 下载地址:https://sourceforge.net/projects/owaspbwa/files/ 百度云链接:链接:https://pan.baidu.com/s/1tyLOkABir4ChpSDOy50g8Q 提取码:wf4q OWASP Broken Web Applications Project Broken Web Applications ( BWA )项目生成一一个虚拟机,运行各种具有已知漏洞的应用
web项目安全漏洞防御实战
yuruizai110的博客
04-20 868
LK最近在对已有项目进行安全漏洞防御,现在将一些心得分享出来和大家一起讨论.主要是从下面几个方面进行漏洞修复。 1. 跨站脚本攻击漏洞(xss) 2. 敏感数据未加密传输 3. 验证机制缺陷 4. Cookie中未设HttpOnly标识 5. 危险的HTTP方法未禁用 1.跨站脚本攻击漏洞(xss) 先来了解一下什么是xss 概念 xss又叫css(cross site script...
2021-05-05
qq_44825720的博客
05-07 147
第3章 身份认证与访问控制 1.身份认证 身份认证指的是对实体身份的证实,用以识别合法或者非法的实体,阻止非法实体假冒合法实体窃取或者访问网络资源 2.访问控制
Web漏洞分析
qq_59363286的博客
11-13 958
关于软件安全的Web分析实验
系统漏洞测试工具 burpsuite 基础知识(1)
04-17 334
burpsuite 简介 百科:BurpSuite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。 burpsuite下载和安装: 无法使用免费版,故下载破解版,https://www.52pojie.cn/thread-...
web漏洞集合示意图
Websec
02-15 604
靶机渗透测试(Sumo_Sun*)
@小张小张的博客
09-19 551
靶机渗透测试(Sumo_Sun*): Vulnhub靶机 Sumo_Sun* 靶机:修改靶机的网络配置为桥接模式。 攻击机:Kali虚拟机,同样使用桥接模式,即可访问靶机。 靶机难度:(Beginner) 目标:成功渗透进入靶机,得到root shell ,提升至root权限! 渗透流程: 1. 探测靶机ip地址(netdiscover -i eth0 -r 网关) 得到靶机ip地址:192.168.10.22 2. nmap进行靶机端口服务扫描 nmap -sS -Pn -A -p- -n 靶
web安全漏洞扫描工具
08-19
在渗透测试的信息收集阶段完成后,根据收集到的信息,可以使用这些漏洞扫描工具来扫描目标站点可能存在的漏洞,包括SQL注入漏洞、跨站脚本漏洞、文件上传漏洞、文件包含漏洞和命令执行漏洞等。通过寻找这些已知的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值