skipfish基本使用

最新推荐文章于 2024-05-31 07:25:19 发布
最新推荐文章于 2024-05-31 07:25:19 发布
阅读量823 收藏 3
点赞数
分类专栏: 安全知识点 安全 文章标签: 服务器 运维 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_56426046/article/details/126727760
版权

skipfish简介

由谷歌创建的 Web 应用程序安全扫描程序,是一种活跃的 Web 应用程序安全侦察工具。

它通过执行递归爬网和基于字典的探针为目标站点准备交互式站点扫描。然后使用许多活动(但希望无中断)安全检查的输出对结果映射进行注释。该工具生成的最终报告旨在作为专业 Web 应用程序安全评估的基础。

特点:

高速纯 C 代码,高度优化的 HTTP 处理,最小的 CPU 占用空间 - 通过响应式目标轻松实现每秒2000 个请求;

易于使用:启发式支持各种古怪的 Web 框架和混合技术站点,具有自动学习功能,动态词表创建和表单自动完成;

尖端的安全逻辑:高质量,低误报,差异安全检查,能够发现一系列微妙的缺陷,包括盲注射矢量

基本操作

查看帮助:skipfish --help

#使用skipfish中的字典枚举发现目标服务器隐藏文件

#skipfish的字典默认以wl结尾

root@kali:~# dpkg -L skipfish | grep wl #查找其字典文件

/usr/share/skipfish/dictionaries/medium.wl #中型字典

/usr/share/skipfish/dictionaries/minimal.wl #小型字典

/usr/share/skipfish/dictionaries/extensions-only.wl #扩展字典

/usr/share/skipfish/dictionaries/complete.wl #完整型字典

 

#参数-o表示将扫描的内容存储到该参数后面的文件内

#参数-I表示匹配URL中某个字符串进行扫描,在本例中即扫描/dvwa目录

#参数-S表示指定文件列表,后面跟字典表示用字典去扫描目标的隐藏文件

#参数-X:表示不检查包含某个字符串的URL

#参数-K:表示不对制定的参数进行Fuzz测试

#参数-D:表示跨站点爬另一个域

 基本使用

skipfish -o test  http://1.1.1.1/dvwa/

1.扫描 http://1.1.1.1/dvwa/,将扫描结果存放在test

2.浏览器打开此页面

    *扫描了整个站点

    *结果保存在 test1/index.html 中

 

 批量扫描:

skipfish -o test @url.txt

扫描多个目标,该命令表示扫描url.txt文件中的url, 并且将扫描结果存放在test文件内

 注意:要保证几次的输出结果是在不同的目录下,如果本身执行此条指令之前,已经有了test目录,需要设定其他输出目录。

基于字典去匹配:

skipfish -o test2 -S /usr/share/skipfish/dictionaries/minimal.wl + 地址

dpkg -L skipfish | grep wl

自带的字典文件路径,查找隐藏目录的字典,现在好多网站都会有不想让用户发现的目录

 其他操作:

-I(大 i):只检查包含 string 的 URL

skipfish -o test3 -I /dvwa/ http://1.1.1.1/dvwa/

-X 不检查包含′string′的URL

skipfish -o test3 -X /dvwa/ http://1.1.1.1/dvwa/

有时候扫描时会触发目标站点保护机制:

触发了目标站点的连接数限制,降低-m -l 数值

-l(小 L):每秒最大请求数 #也会根据你的网络情况来定,扫描有些网站时,爬触碰到它的防护

机制时,就可以限制扫描请求数,每秒扫 5 次,扫 10 次等

-m:每 IP 最大并发连接数 #并发,也是控制速度,也是根据网络性能

root@kali:~# skipfish -o test5 -l 10 -m 10 -I /dvwa/ http://1.1.1.1/dvwa/

身份认证:

基于http身份认证

skipfish -A username:password -o test http://1.1.1.1/dvwa/

通过表单提交用户名密码

--auth-form 表示登陆账户名密码的界面

--auth-user 后面指定用户名

--auth-pass 后面指定密码

--auth-verify-url 后面指定登陆成功后的界面(即判断是否登陆成功)

skipfish -o test7 --auth-form http://1.1.1.1/dvwa/login.php --auth_x0002_user admin --auth-pass password --auth-verify-url http://1.1.1.1/dvwa/index.php -I /dvwa/http://1.1.1.1/dvwa/

查看扫描结果

因为火狐翻译插件不好用,所以参考链接

kali linux 安装谷歌浏览器_心田祭思的博客-CSDN博客

安装谷歌浏览器

然后打开test目录的html文件查看扫描结果

夜yesec
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
使用Skipfish检测安全漏洞
jsvdb的博客
06-15 1582
Skipfish是一款开源的Web应用程序安全检测工具,主要功能包括主动扫描和被动扫描。使用Skipfish可以快速地发现应用程序中的安全漏洞,比如SQL注入、XSS攻击、目录遍历等。以下是使用Skipfish检测安全漏洞时需要注意的一些要点:设置好扫描参数:在进行扫描之前,需要设置好扫描参数,包括扫描的目标URL、要排除的URL、线程数、扫描的深度等。关注扫描结果:Skipfish会输出扫描结果报告,需要仔细关注其中的漏洞信息,包括漏洞类型、漏洞描述、漏洞等级等。
skipfish-1.21b.tgz
05-27
本文将深入探讨Skipfish的功能、工作原理以及如何使用它来提升网站的安全性。 一、Skipfish简介 Skipfish是由Google的Dmitry Vovks发起的一个开源项目,它是一款主动式的、全面的、交互式的Web应用安全扫描工具。...
skipfish使用
yangge03的博客
05-18 1184
1、安装所需软件库: yum install pcre-devel openssl-devel libidn-devel libidn2-devel 2、安装skipfish 下载源码skipfish # https://github.com/spinkham/skipfish ( http://code.google.com/p/skipfish/)获取源码,解压     执行ma
Kali-skipfish工具使用实验-Web应用安全扫描2.0整理版(包含DVWA)
最新发布
qq_53058639的博客
05-31 861
一、环境准备1.使用VMware创建两台虚拟机1)Windows72)Kali二、站点搭建1.下载PhPStudy软件安装包(简单易用的一站式站点搭建工具)2.安装软件3.通过PhPStudy打开Apache,Mysql服务4.测试基础站点(win7和kali上均进行)1)通过PhPStudy访问2)直接访问本机ip地址3)通过kali访问三、DVWA靶场搭建1.下载DVWA资源包2.解压3.将解压出的文件移动到PhPStudy站点提示的目录下4.打开浏览器查看。
kail系列skipfish的操作使用
weixin_44232687的博客
10-04 1785
未来的我,朦胧可见;脚下的路,灯火依稀。 ——杰 学习逆向工程的过程是枯燥的,需要我攻克的内容有很多,kail只是其中的一部分,在接下来的过程中,希望可以和大家一起学习 文章目录前言一、skipfish是什么?二、使用步骤1.开启skipfish2. 打开文件查看结果3.skipfish其他的指令总结 前言 Kali Linux是基于Debian的Linux发行版, 设计用于数字取证和渗透测试 和 黑客攻防。Kali预装了许多渗透测试软件,包括nmap、Wireshark 、Burp suitpe、M
Skipfish使用
weixin_34380781的博客
03-17 140
2019独角兽企业重金招聘Python工程师标准>>> ...
skipfish-2.10b
09-21
skipfish ,google源代码,学习web安全扫描器
skipfish-2.1
10-26
是一款由谷歌开发的实验性的主动WEB安全评估工具,使用C语言编写,体量小但是功能齐全。特点是:递归爬站,基于字典的探测,速度较快(多路单线程,启发式自动内容探测),误报相对较低。
google_skipfish
04-07
google skipfish的1.1版本
网络安全扫描工具skipfish
02-12
Skipfish是一款免费、开源、全自动化的动态网页应用程序安全检测工具。
skipfish试用
wei
06-30 226
一。简介 google的一款安全扫描工具,项目地址在http://code.google.com/p/skipfish/     A fully automated, active web application security reconnaissance tool. Key features: High speed: pure C code, highly optimized ...
Skipfish学习使用
永不垂头的博客
08-21 142
Skipfish学习使用 Skipfish: nikto -host http://192.168.1.104/pikachu-master/ 后续操作请持续关注哦!!! 了解更多请关注下列公众号: ???? ???? ???? ???? ???? ???? ???? ???? ???? ???? ???? ???? ???? ???? ???????????????????????????????????? ???? ???? ???? ???? ???? ???? ???? ???
毕业一年,从事运维感觉没有出路,如何转型更有前景?
Python_0011的博客
07-08 642
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
Kali扫描 skipfish使用
胡乱写点什么
07-22 2301
Kali——WEB渗透(五) 学习web渗透过程中的心得体会以及知识点的整理,方便我自己查找,也希望可以和大家一起交流。 —— 扫描:Skipfish—— skipfish:是一款由谷歌开发的实验性的主动WEB安全评估工具,使用C语言编写,体量小但是功能齐全。特点是:递归爬站,基于字典的探测,速度较快(多路单线程,启发式自动内容探测),误报相对较低。 2.使用 (1).格式:skipfis...
shipfish详细使用教程
热门推荐
星落的博客
05-09 2万+
skipfish简介 skipfish是基于C语言编写的一款web安全评估工具,其特点速度快,递归爬网,误报低。 skiipflish常用命令 -A user:pass 基于http身份认证 -C 使用cookie -b(i | f | p) 更改user-agent --auth-from 登陆页面的url --auth-user 登陆页面的user --auth-pass 登陆页面的...
Skipfish安全侦察实操
wutiangui的博客
05-03 303
如果没有出现编译错误,你会看到一个启动屏幕,上面会说60秒后自动启动,或立即按下任意键启动。http://www.thesecurityblogger.com是扫描目标网站。一旦扫描结束,或者提前终止,skipfish会在-o处生成很多文件。Skipfish是kali自带安全侦察工具,以下演示使用方法。点击index.html查看爬虫结果。-o后面指定输出结果位置。
kali-skipfish工具使用实验(包含DVWA靶场搭建教程)
qq_73680923的博客
04-23 673
kali中skipfish工具的使用
Windows下使用skipfish
收集盒 Book box
01-11 679
skipfish是Google的工程师MIchal Zalewski开发的另一款网站安全检测工具,它完全实现了全自动化操作,所以不需要人工干预,这一点上比RatProxy要好用一些,当然在功能上也强大更多了。     可以从http://code.google.com/p/skipfish/下载它。   安装Cygwin     与ratproxy一样,在win
skipfish使用教程
08-22
skipfish是一个Web应用程序安全扫描工具,用于识别和评估Web应用程序中的安全漏洞。下面是使用skipfish的步骤: 1. 首先,你需要下载并安装skipfish。你可以从官方网站或其他可靠的来源获取安装文件。 2. 打开终端或命令提示符,并导航到skipfish的安装目录。 3. 使用以下命令启动skipfishskipfish -o [输出目录] -S [字典文件路径] [目标URL] -o参数指定结果输出的目录,可以是任何你喜欢的路径。 -S参数指定字典文件的路径,这个字典文件包含了要用于扫描的URL和参数的列表。 [目标URL]是要扫描的Web应用程序的URL。 4. 执行命令后,skipfish将开始进行扫描,并将结果保存在指定的输出目录中。你可以在输出目录中查看生成的报告文件以及其他相关文件。 5. 除了基本的扫描命令,skipfish还提供了其他一些指令,可以根据需要进行使用。你可以查阅skipfish的文档或官方网站来了解更多关于这些指令的信息。 总结一下,使用skipfish的步骤包括下载安装skipfish、启动skipfish并指定输出目录、字典文件和目标URL,然后等待扫描结果生成。希望这些信息对你有所帮助。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [shipfish详细使用教程](https://blog.csdn.net/smli_ng/article/details/106005171)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [kail系列skipfish的操作使用](https://blog.csdn.net/weixin_44232687/article/details/108921970)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

夜yesec

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值