web自动爬虫扫描的缺点

最新推荐文章于 2024-01-18 16:30:28 发布
最新推荐文章于 2024-01-18 16:30:28 发布
阅读量1.2k 收藏
点赞数
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012684933/article/details/21937401
版权

    虽然自动爬虫扫描用起来很简单,但是存在如下缺点:

1. 不支持非普通的搜寻,例如动态生成的菜单或者复杂的javascript脚本,这样导致搜寻的页面不全

2. 隐藏在经过编译的客户端对象里面的链接,例如java applet或者flash不能被爬虫发现

3.多级功能往往不能接收由自动扫描工具提交的随意的数据,例如注册用户名的时候,往往需要填写正确的电话号码、email地址

4.为了避免扫描死循环,自动扫描往往把URL作为扫描的唯一标示符,也就是一个url扫描一次。但是对于某些情况,同一个URL可能会根据参数值返回不通的函数和内容进行下一步的处理。例如在使用网银的时候往/account.jsp发送请求,网银根据参数值决定下一步的行动。因此自动扫描器对一个URL只扫描一次往往会错过很多页面内容

5.URL数据里面可能被服务器放入了不是用来确定资源的volatile数据,这些数据每次请求都不一样,看起来总是像新的URL,这些数据可能导致扫描器死循环

6.虽然扫描器配置了认证之后能够通过认证后爬取页面,但是认证可能被以下几点原因打断

    a. 爬虫扫描可能请求了退出按钮

    b. 某些敏感的功能,接收到异常数据后有可能异常退出此次session

    c, 服务器可能对每个页面添加了独特的token,自动爬虫扫描很可能不能有效处理这些token

heayin123
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
爬虫基础篇[Web 漏洞扫描器]
Coisini的博客
06-04 1706
0x00 前言 Web 漏扫的爬虫和其他的网络爬虫的技术挑战不太一样,漏扫的爬虫不仅仅需要爬取网页内容、分析链接信息, 还需要尽可能多的触发网页上的各种事件,以便获取更多的有效链接信息。 总而言之,Web 漏扫的爬虫需要不择手段的获取尽可能多新的链接信息。 在这篇博客文章中,我打算简单地介绍下和爬虫浏览器相关内容,爬虫基础篇倒不是说内容基础,而是这部分内容在漏扫爬虫中的地位是基础的。 0x01 Q...
web漏洞扫描器基于爬虫的多线程
05-07
基于爬虫的多线程web漏洞扫描器 python run.py --help Usage: run.py [options] Options: -h, --help show this help message and exit -d DOMAIN, --domain=DOMAIN Start the domain name -t THREAD_NUM...
SpiderFlow爬虫平台漏洞利用分析(CVE-2024-0195)
蚁景网安学院
01-18 849
在SpiderFlow爬虫平台项目中,此漏洞构造恶意输入来执行任意的 JavaScript 代码,从而导致代码注入,并允许远程发起攻击,可导致服务器失陷。
web扫描爬虫优化
weixin_34095889的博客
03-08 216
smarttang · 2014/11/13 10:440x01 需求背景公司要弄自动化的扫描工具,目前市面上的工具都无法针对业务进行检测,所以只能自己开发。辣么,就有个问题,爬虫需要自己去写。。。之前自己也写过相关的爬虫,但是要么是半成品,要么就是垃圾代码…很多都无法直接引用,所以,在强大的KPI考核下,强迫自己代码重构。用Python写起。0x02 遇到问题本身在爬虫上轻车熟路,很轻易就写出了...
Web漏洞扫描这件事】爬虫1-设想
soldi_er的博客
09-17 294
文章目录burpsuite爬虫爬虫框架和爬虫算法自行开发审计二开定制南瓜的专属爬虫整体把握scrapy框架定制爬虫 面对一个Web系统,脚本fuzz的对象是一个个 url 。 面对一个 ip 或者 域名,第一步要做的是获取这个 Web 系统的所有 url ,用到爬虫技术。 burpsuite 有爬虫模块,先学习一下。 测试靶场使用 DVWA 。 burpsuite爬虫 burpsuite2.0 抓包,把请求发送到 Repeater,发现已经有了该 Web 系统的网站地图 Site map,但基本没有进行访问
【毕设扫描器】【动态爬虫】CrawlerGo直观使用效果分析
soldi_er的博客
01-31 1805
文章目录当前进度自主摸索爬虫主要参数说明初测(调用脚本只打印请求信息,需要修改)根据文章和项目信息学习使用 date:2022-01-30 当前进度 可执行程序:下载项目文件,通过下载库完成编译,生成可运行的 exe 程序。 调试:IDEA使用插件Go配置环境变量,可成功在IDEA中运行项目。 本节内容:使用 CrawlerGo 对 DVWA 靶场进行实战应用,查看效果。 自主摸索爬虫 主要参数说明 参数:crawlergo [global options] url1 url2 url3 … (must
主流WEB漏洞扫描器种类及其指纹特征分析
AzulSystems的博客
03-15 537
通常在企业,如果企业内部有自己的漏洞扫描器,则用企业内部提供的,如果没有,我们都是选用两款比较好用、主流的WEB漏洞扫描器进行漏洞扫描,完成扫描后生成报告对比并合并,系统也一样。注:以上WEB漏洞扫描器产品中,有收费的,也有免费的,国内的大部分都是收费的,除了长亭的X-ray,但是长亭的Xray高级版一样是收费的,其开放的是社区版,而我们日常渗透中常用的WEB漏洞扫描器可能就是AWVS、Nessus、APPScan这三款。其实随着经验的增长,我也越来越少用漏洞扫描器了,刚入门那会非常依赖它的。
基于爬虫web漏洞扫描器.zip
03-01
爬虫Web Crawler)是一种自动化程序,用于从互联网上收集信息。其主要功能是访问网页、提取数据并存储,以便后续分析或展示。爬虫通常由搜索引擎、数据挖掘工具、监测系统等应用于网络数据抓取的场景。 爬虫的...
Selenium (WEB自动化工具/爬虫
08-15
Selenium (WEB自动化工具/爬虫):本文包含WEB自动化,以及爬虫使用方法 本文详细介绍了Selenium Python版本的自动化测试方法和实践,通过本文学习你将掌握如下内容:Selenium 测试环境搭建单元测试、生成测试报告...
爬虫项目 - web scraping
最新发布
07-08
Web scraping(网页抓取)是一种从互联网上提取数据的自动化技术。它通过模拟人类在网页浏览器中的行为,自动访问网站、解析网页内容,并提取所需的数据。 网页抓取在各个领域都有广泛的应用。例如,在市场调研中,...
Netspark 5.0.0.20026破解版本
09-24
Netsparker是一个便于使用的Web应用漏洞扫描工具,可以爬行、攻击并识别各种Web应用中存在的漏洞。能识别的Web应用漏洞包括SQL注入、XSS(跨网站指令码)、命令注入、本地文件包含和任意文件读取、远程文件包含、框架注入、内部路径信息披露等。 不同于其它漏洞扫描工具,Netsparker具有相当低的误报率,因为Netsparker执行多次测试以确认任何被识别的漏洞。它还有一个JavaScript引擎,可以解析、执行并分析Web应用中使用的JavaScript和VBScript输出。因此,Netsparker能成功爬行并充分了解网站(使用不同的AJAX框架、自定义代码或知名的框架如jQuery)更多最新工具请到http://caidaome.com
基于java通过网络爬虫进行搜索引擎扫描.rar
06-23
在使用java语言的前提下,通过网络爬虫技术,遍历搜索引擎的内容信息,目前可以便利博客园和搜狐搜索引擎,写的代码只能遍历这两个,程序可以运行,各种包需要自己下载和调试。仅适合参考和小白学习。
Python脚本实现Web漏洞扫描工具
09-21
是去年毕设做的一个Web漏洞扫描小工具,主要针对简单的SQL注入漏洞、SQL盲注和XSS漏洞。下文给大家介绍了使用说明和源代码,一起看看吧
网络爬虫讲解(附java实现的实例)
热门推荐
luojinping的专栏
10-13 7万+
网络蜘蛛即Web Spider,是一个很形象的名字。把互联网比喻成一个蜘蛛网,那么Spider就是在网上爬来爬去的蜘蛛。网络蜘蛛是通过网页的链接地址来寻找网页,从 网站某一个页面(通常是首页)开始,读取网页的内容,找到在网页中的其它链接地址,然后通过这些链接地址寻找下一个网页,这
使用爬虫技术实现 Web 页面资源可用性检测
zhusongziye的博客
10-28 1766
背景 对于电商类型和内容服务类型的网站,经常会出现因为配置错误造成页面链接无法访问的情况(404)。 显然,要确保网站中的所有链接都具有可访问性,通过人工进行检测肯定是不现实的,常用的做法是使用爬虫技术定期对网站进行资源爬取,及时发现访问异常的链接。 对于网络爬虫,当前市面上已经存在大量的开源项目和技术讨论的文章。不过,感觉大家普遍都将焦点集中在爬取效率方面,例如当前就存在大量讨论不同并发机...
[笔记] PhantomJS爬虫小记
匆匆往站
03-27 3694
PhantomJS这个headless浏览器还是很好用的,配合着v8与qt化的webkit引擎,JavaScript可以很好得去处理得到的页面数据。 去年在整合各个平台搭建搜索引擎的时候,写了一个爬虫脚本,去掉一些认证和特殊功能,一个简单的js就放到github上了: https://github.com/dna2github/dna2oldmemory/blob/master/dna2poem/phantomjs/spider.js
爬虫工程师和网络安全工程师的爱恨情仇
Summer_Hanson的博客
08-29 3974
依托互联网的大数据时代,人们都清楚的明白大数据的重要性,尤其是自家的数据资源更是爱护有加。一个公司的网络安全工程师就是防御另一个公司的爬虫工程师,因为一个是防御一个是抓取,就好比最坚硬的盾与最尖锐的矛。
Deep Web爬虫
牛牛码特的博客
03-27 1339
Deep Web 爬虫 Web 页面按存在方式可以分为表层网页(Surface Web)和深层网页(Deep Web,也称 Invisible Web Pages 或 Hidden Web)。 表层网页是指传统搜索引擎可以索引的页面,以超链接可以到达的静态网页为主构成的 Web 页面。Deep Web 是那些大部分内容不能通过静态链接获取的、隐藏在搜索表单后的,只有用户提交一些关键词才能获得的 Web 页面。例如那些用户注册后内容才可见的网页就属于 Deep Web。 2000 年 Bright Plane
使用浏览器进行xss测试的时候需要关闭浏览器的xss filter
u012684933的专栏
03-23 1万+
chrome的关闭方法: 我的chrome安装目录在C:\Program Files (x86)\Google\Chrome\Application\chrome.exe,关闭方法是在命令行输入以下命令: "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --args --disable-xss-auditor
Python爬虫缺点
04-21
Python爬虫缺点包括: 1. 速度较慢:相比于其他编译型语言,Python的解释执行方式导致爬虫的速度相对较慢,特别是在处理大量数据或者需要频繁请求的情况下。 2. 内存占用较高:Python的解释器会占用较多的内存...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值