漏洞发现-工具篇
想必不管是小白,还是大佬,都听过,或者使用,甚至二次开发过漏扫工具,比如,xray,awvs,goby等等。这里将先介绍常用的工具,及其用法,在叙述,漏扫工具的“正确使用方法”。
常用漏洞扫描工具
Xray
Xray是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器,支持主动、被动多种扫描方式,自备盲打平台、可以灵活定义 POC,功能丰富,调用简单,支持Windows /macOS /Linux 多种操作系统,可以满足广大安全从业者的自动化 Web 漏洞探测需求。
下载地址:https://github.com/chaitin/xray/releases
AWVS
Acunetix一款商业的Web漏洞扫描程序,它可以检查Web应用程序中的漏洞,如SQL注入、跨站脚本攻击、身份验证页上的弱口令长度等。它拥有一个操作方便的图形用户界面,并且能够创建专业级的Web站点安全审核报告。新版本集成了漏洞管理功能来扩展企业全面管理、优先级和控制漏洞威胁的能力。
下载地址:https://www.ddosi.com/awvs14-2/
Goby
Goby是一款新的网络安全测试工具,由赵武Zwell(Pangolin、JSky、FOFA作者)打造,它能够针对一个目标企业梳理最全的攻击面信息,同时能进行高效、实战化漏洞扫描,并快速的从一个验证入口点,切换到横向。能通过智能自动化方式,帮助安全入门者熟悉靶场攻防,帮助攻防服务者、渗透人员更快的拿下目标。
下载地址:https://github.com/gobysec/Goby/releases
vulmap
Vulmap是一款 web 漏洞扫描和验证工具, 可对 webapps 进行漏