Web漏洞手工检测
Web环境中存在两个主要的风险:SQL注入,它会让黑客更改发往数据库的查询以及跨站脚本攻击(XSS)。注入攻击会利用有问题代码的应用程序来插入和执行黑客指定的命令,从而能够访问关键的数据和资源。当应用程序将用户提供的数据不加检验或编码就发送到浏览器上时,会产生XSS漏洞。大多数公司都非常关注对Web应用程序的手工测试,而不是运行Web应用程序扫描器。
Burp Suite是Web应用程序测试工具之一,其多种功能可以执行各种任务,如请求的拦截和修改,扫描Web应用程序漏洞,以暴力破解登陆表单,执行会话令牌等多种的随机性检查。使用Burp Suite将使得测试工作变得更加容易和方便,即使在不需要娴熟的技巧的情况下,只要熟悉Burp Suite的使用,也使得渗透测试工作变得轻松和高效。
Acunetix WVS及Web漏洞手工检测分析实验
实验目标:
Acunetix WVS的安装及使用
任务一:WVS安装及使用
(1)掌握web扫描的概念、意义及应用分析。
(2)掌握Acunetix WVS扫描工具的安装。
(3)针对特定扫描目的,掌握Acunetix WVS扫描器的参数方法。
云端Web漏洞手工检测分析
任务一:Burp Suite基础Proxy功能
(1)了解常见的Web漏洞及其攻击原理。
(2)了解Burp Suite的基本功能及Proxy功能。
(3)掌握设置Burp Suite软件中Proxy代理及手动配置功能应用。
任务二:Burp Suite target功能使用
(1)掌握Burp Suite target功能。
(2)使用Burp Suite target功能搜索目标漏洞。
任务三:Burp Suite Spider功能
(1) 掌握Nmap扫描存活主机的意义,相关基础知识。。
(2) 使用Nmap进行存活主机扫描。
任务四:Burp Suite Scanner功能应用
(1) 掌握如何识别远程机器的系统版本。
(2) 使用Nmap扫描并识别远程机器的系统版本。
任务五:Burp Suite Intruder爆破应用
(1) 掌握识别目标主机所开放端口上的应用。
(2) 使用Nmap扫描并识别目标主机所开放端口上的应用。
实验环境:
VMware中创建Windows Server 2008与Kali Linux虚拟机,并配置这2台虚拟机构成一局域网,设置Windows Server 2008虚拟机ip地址为192.168.43.145,Kali Linux虚拟机的ip地址为192.168.43.242。
Windows Server 2008虚拟机中配置IIS,并创建好测试网站dvwa。
实验拓扑图如图
kalilinux192.168.43.242 windows server2008 192.168.43.145
任务一、在Windows Server2008R2虚拟机中安装Acunetix WVS
选择下载与系统匹配的安装包
打开Acunetix 11界面,单击Next,进行下一步。
选择I accept the agreement,Next进行下一步操作。
填写信息(随意填写)
选择Server Name下一步。
点击Next进行安装
点击Install进行下一步