在此前的文章中,游侠谈到过 [免费网络和主机漏洞评估程序Nessus 4.2.0安装试用],可能有朋友注意到,Nessus只是扫描主机、网络设备等的漏洞,而对于目前相当流行的Web应用安全漏洞没有涉及,其实Nessus是有此项设置的,不过默认没有打开——理由是会延长扫描时间……游侠感觉还是有必要说一下的。
Nessus可以扫描的Web应用安全项目包括:
·SQL injection
·Cross-Site Scripting (XSS)
·HTTP Header Injection
·Directory Traversal
·Remote File Inclusion
·Command Execution
在Google搜了下,居然没有中文文档,就自己啃e文吧……
上面说了,Nessus因为扫描Web应用时间太长,所以默认没有开启这个功能,那么我们首先得开启这个功能。涉及到如下三个功能项:
→ Global variable settings
→ Web Application Tests Settings
→ Web mirroring
首先必须设置全局变量,开启Web应用扫描,看图操作:
用Nessus扫描Web应用漏洞
最新推荐文章于 2023-07-11 10:17:20 发布