一、总述
Scanner模块可对站点进行漏洞扫描,扫描方式可有以下两种:
Actively Scan
:主动扫描
主动扫描会发送新的请求,可发现如SQL注入、CSRF、XSS等漏洞,有可能会对服务器产生影响Passively Scan
:被动扫描
被动扫描不会发送新的请求,只是对已有请求及应答进行分析,不会造成服务器等损害
二、分述
Scanner模块包含以下五个功能
- Issue activity:问题清单
- Scanner queue:扫描队列
- Live scanner:在线扫描
- Issue definitions:问题列表
- OPtions:配置
对本机的DVWA靶机进行漏洞扫描,来讲解Scanner模块。
在扫描时,需打开代理,关闭截获。
1、Issue activity:问题清单
记录了扫描到的问题相关信息,时间、类型、等级……
如下图扫描出一个高危(明文密码),两个低危(未加密的信道、未执行安全传输)