网站漏洞扫描

最新推荐文章于 2024-06-25 14:14:41 发布
最新推荐文章于 2024-06-25 14:14:41 发布
阅读量2.8k 收藏 12
点赞数
分类专栏: 工具专区 信息收集 文章标签: nessus awvs appscan owasp-zap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46684578/article/details/119031710
版权

网站漏洞扫描

web网站漏洞的扫描

工具利用

1. Nessus

提供了完整的电脑漏洞扫描服务,并随时更新其漏洞数据库。Nessus可同时在本机或远端上遥控,进行系统的漏洞扫描。

Nessue不仅可以扫描网站,还可以扫描主机

Nessue 使用8834端口作为后台,你在本地输入 https://localhost:8834 即可跳转到登录后台页面。

基本选项
  • My Scans就是你的一些扫描的站点
  • All Scans就是你曾经所有的扫描。
  • Polices就是策略,策略允许您创建自定义模板,定义在扫描期间执行的操作。创建之后,可以从扫描模板列表中选择它们。从这个页面,您可以查看、创建、导入、下载、编辑和删除策略。
  • Plugin Rules是插件规则,插件规则允许您隐藏或更改任何给定插件的严重性。此外,规则可以限制在特定的主机或特定的时间范围内。从此页面,您可以查看、创建、编辑和删除规则。
  • Scanners扫描,远程扫描仪可以通过升级链接到Nessus。一旦链接,就可以在本地管理它们,并在配置扫描时选择它们。从此页面,您可以查看扫描仪的当前状态,并向下钻取以控制所有正在运行的扫描。

2. AWVS(Acunetix)

WVS(Web Vulnerability Scanner) 是一个自动化的Web应用程序安全测试工具。可以扫描HTTP/HTTPS的web站点。可以扫描SQL注入,XSS等漏洞。

AWVS功能
  • WebScanner:核心功能,web安全漏洞扫描
  • Site Crawler:站点爬虫,变量站点目录结构
  • Targer Finder:主机发现,给定网段,找出开启了80和443端口的主机
  • Subdomain Scanner:子域名扫描器,利用DNS查询
  • Blind SQL Injector:盲注工具
  • Http Editor Http:协议数据包编辑器
  • Http Sniffer:Http协议嗅探器
  • Http Fuzzer:模糊测试工具
  • Authentication Tester:web认证破解工具
工作原理
  • 他会扫描整个网络,通过跟踪站点上的所有链接和robots.txt(如果有)而使用扫描。然后AWVS就会映射出站点的结构并显示每个文件的细节信息
  • 它会模拟黑客的手法去进行探测,利用各种脚本,在每一个有输入的地方尝试所有的输入组合
  • 扫描出漏洞之后,会给出建议,并且可以生成一个专用的报告

3. APPScan

是一个非常强大的web应用安全测试工具。AppScan可自动化web应用的安全漏洞评估工作,能扫描和检测所有常见的wbe应用安全漏洞。例如:SQL注入,XSS,缓冲区溢出(buffer overflow)和最小的Flash/Flex应用以及 Web 2.0 应用暴露等方面安全漏洞扫描

AppScan原理:

  • 通过爬虫发现整个web应用结构
  • 根据分析,发送修改的HTTP Request 进行攻击尝试
  • 通过对Response的分析验证是否存在安全漏洞

4. OWASP-ZAP

QWASP Zed攻击代理是世界上最受欢迎的免费安全审计工具之一。
也可以说ZAP是一个中间人代理。它能够获取你对Web应用程序发出的所有请求以及你从中收到的所有响应

重要功能:

  • 本地代理
  • 主动扫描
  • 被动扫描
  • Fuzzy
  • 暴力破解

最强大功能是主动扫描,可以自动对目标网站发起渗透测试,可以检查的缺陷包括目录遍历,文件包含,跨站脚本,SQL注入等

设置代理

工具 – 选项 – local proxy

请添加图片描述

目录扫描
  1. 添加完要访问的URL,点击选择
  2. 左边站点就会出现此url
  3. 然后右键选择攻击 – 强制访问浏览器
    请添加图片描述
主动扫描

可以右键点击主动扫描;
也可以填url,选择攻击。
请添加图片描述

查看结果,生成报告

等待扫描完成之后,自动会出现结果
点击窗口导航的报告,可以生成报告

Buffedon
关注
  • 0
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
网站漏洞扫描如何做
sineblog的专栏
04-06 3043
在这里也有我们当前扫描的进度条看到,我们这里速度还是比较快的,并且在这里可以看到他当前发送的这个数据报已经发送了1000多个1400多个,这时候我们也可以点 spider来查看一下我们扒取到的页面,我们可以看到我们已经发现了39个页面,并且我们对它进行对应的漏洞扫描,在漏洞扫描结束之后,我们点击a lot可以查看来对应扫描到的漏洞信息。 在这里如果是红色的这样一个小旗帜表示是一个高危漏洞,如果是黄色的话,它表示一个中危漏洞,如果是浅黄色的话,它是一个低危漏洞,可能并不具有任何利用价值。在这里我们.
网络 /Web漏洞扫描
Chenamao的博客
07-27 1134
目录 网络漏洞扫描 OpenVAS 的安装 OpenVAS 的使⽤ Web 漏洞扫描 AWVS AWVS 的使⽤: 创建扫描⽬标 创建扫描任务 开启扫描任务 导出扫描报告 通过网络漏洞扫描,全面掌握目标服务器存在的安全漏洞。市面上通常使用的漏洞扫描器有 Nessus , Nexpose , Openvas ,极光等。 本次实验所使用的网络漏洞扫描器是 openvas,可以用来识别远程主机、Web应用存在的各种漏洞。 OpenVAS 的安装 ♦ 通过ISO镜像安装 ...
网站漏洞有哪些方法检查,网站常见漏洞扫描检测方案
dexunyun的博客
04-28 2616
今天我们就来了解下关于网站漏洞的知识,了解网站漏洞的危害、有哪些解决方案以及常见的检测方法,提高网站安全防护能力,保障用户信息安全,帮助大家更好地保障网站安全。渗透测试是一种模拟真实攻击环境的检测方法,模拟黑客的攻击手段,对网站进行全方位的安全测试,它通过对网站进行系统的攻击测试,评估其安全性能,并发现潜在的安全漏洞。综上所述,网站漏洞安全是一个复杂而重要的议题。而网站漏洞检测在网站安全方面扮演着重要的角色,通过使用安全有效的漏洞扫描服务,从多个角度对网站进行全面的安全检测,以应对日益多样的网站漏洞威胁。
【2024版】最新6款漏洞扫描工具来了!(附下载)看完这一篇就够了
热门推荐
VN520的博客
11-09 1万+
Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞,它的官方网站是:https://www.acunetix.com,我刚才看了一眼没有找到试用版下载链接,之前是有的,可以免费试用14天,当然你也可以去网上搜索破解版进行下载安装,有经济实力的朋友可以考虑购买正版软件,下图就是AWVS的主界面,里边还保存着我扫描过的两个站点,发现了4个高危漏洞,4个中危漏洞和20个低危漏洞
最好的在线安全扫描
最新发布
jennycisp的博客
06-25 1054
今天一个老朋友询问:小型企业如何通过免费的、开源的在线工具来对网站实现基础的安全扫描和风险修复,考虑到部署成本,花了点时间整理了如下在线网站安全扫描工具,下文将列出一些最好的工具来扫描您的网站的安全漏洞,恶意软件,和在线威胁。
渗透测试常用WEB安全漏洞扫描工具集合
2201_75362610的博客
04-08 5502
渗透测试阶段信息收集完成后,需根据所收集的信息,扫描目标站点可能存在的漏洞,包括SQL注入漏洞、跨站脚本漏洞、文件上传漏洞、文件包含漏洞及命令执行漏洞等,然后通过这些已知的漏洞,寻找目标站点存在攻击的入口。那么今天我们就介绍几款常用的WEB应用漏洞扫描工具。Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞。在漏洞扫描实战过程中,一般会首选AWVS,因为这个能扫描出来的漏洞很多,而且使用比较简单。
网络安全自学篇之Web漏洞及端口扫描之Nmap、ThreatScan和DirBuster工具
m0_59598029的博客
03-14 3047
Web渗透技术的核心是发现Web漏洞,发现漏洞有手工和软件自动化扫描两种方式。对于用户验证漏洞、用户凭证管理问题、权限特权及访问控制漏洞、缓存漏洞、跨站脚本漏洞、加密漏洞、路径切换漏洞、代码注入漏洞、配置漏洞、数据和信息泄露、输入验证码漏洞、操作系统命令脚本注入、资源管理漏洞、SQL注入等常见Web漏洞,都可以通过Web扫描器进行扫描
WEB网站服务器安全漏洞扫描环境搭建及漏洞工具扫描
weixin_43075093的博客
04-25 1280
1、企业自建有门户网站; 2、使用Struts框架的WEB网站; 3、网站服务器涉及有数据库之类的项目,如:微信登录、手机登录、充值、收费等。 4、使用安卓版、苹果版、电脑版结合的缴费类网站平台。 5、方便但需提高安全性的WEB网站系统。
网站漏洞扫描
01-16
网站漏洞扫描扫描网站漏洞用的一款工具
网站漏洞扫描大师 V1.0.rar
08-18
网站漏洞扫描大师一款对网站程序的安全性检测的工具,该工具界面简洁,操作方便,功能强大,欢迎下载体验。 软件功能: 1、支持 ASP.PHP.ASPX.JSP 自带字典
测试软件之网站漏洞扫描
01-06
该软件主要是为了测试网站的安全性 可以对常见的网站漏洞进行扫描
Web漏洞扫描
m0_75056154的博客
04-04 1140
Xray是一款功能强大的安全评估工具,由多名经验丰富的一-线安全从业者呕心打造而成检测速度快、支持范围广、代码质量高、高级可定制、安全无威胁Xray支持多种漏洞检测,主要漏洞检测类型如下XSS跨站脚本攻击    SSRF跨站请求伪造命令、代码注入    ThinkPHP系列路径穿越    弱口令SQL注入    文件上传目录枚举    POC框架XML实体注入    CRLF注入其中POC框架默认内置Github.上贡献的POC,用户也可以根据需要自行构建。
使用什么工具可以对web平台的漏洞进行扫描
weixin_35757531的博客
12-16 518
对 web 平台进行漏洞扫描可以使用许多工具。常用的工具包括: Nessus: Nessus 是一款功能强大的安全扫描器,可用于发现 web 平台的漏洞。 Acunetix: Acunetix 是一款专为 web 平台设计的漏洞扫描工具,可帮助你发现 SQL 注入,跨站脚本 (XSS) 攻击等常见漏洞。 Burp Suite: Burp Suite 是一款流行的 web 安全测试工具,可用于...
渗透测试 重点方法检测网站漏洞
网站安全专家
09-25 1839
这几天整理了下网站渗透测试中基础部分的第三节,我们SINE安全渗透工程师对代码安全审计,手工渗透测试检查代码的危险漏洞方法,找出安全问题重点,配合工具扫描来达到测试漏洞的目的,本测试重点仅限于客户授权才能操作,切记忽非法尝试入侵!以下方法只是提供网站安全检测的具体参考意见。 1.5. 代码审计 1.5.1. 简介 代码审计是找到应用缺陷的过程。其通常有白盒、黑盒、灰盒等方式。白盒指通过对...
网络安全-网站漏洞扫描
weixin_48137911的博客
04-21 1573
网站漏洞扫描器是用来扫描对方网站可能存在哪些漏洞的工具,我们可以借助网站漏洞扫描器来当作辅助作用去检测对方网站漏洞。至于咋用,漏扫,自己摸索一波就会玩了的了,也是输入域名就可以开始自动运作的(可以用浏览器的翻译功能去看,都很简单的)先说缺点-这玩意简称漏扫,你一旦发送,会有大量的数据包发往目标网站,一些小一点的你一发可能就爆了。安装这个exe一直点下一步就行了,然后输入一个邮箱和密码,和确定密码。然后邮箱和密码就是刚刚设置的那个,这个是基于本地的,没有网络也可以用。右键图标,打开文件位置,去里面解压。
网络安全必备的五款免费网络漏洞扫描
2301_76161259的博客
04-10 4062
尽管我们在电子设备上安装了安全软件,但这些安全软件并不能自主跟踪并捕获所有漏洞。这时候,我们就需要额外安装网络漏洞扫描器,它可以帮助您自动执行安全审查,在IT安全中发挥重要作用。在扫描网络和网站时,网络漏洞扫描器能够查找成千上万的不同安全风险,并生成优先级列表,列出要修补的漏洞,描述漏洞,给出如何补救漏洞的步骤,甚至能够自动化修补漏洞。市面上的漏洞扫描器和安全审查工具价格较高,不适合个人使用者和资金不足的初创公司,但也有免费的漏洞扫描工具。
【安全工具】Web漏洞扫描十大工具
qq_44005305的博客
10-09 2850
漏洞扫描技术是建立在端口扫描技术的基础之上的,从对黑客的攻击行为的分析和收集的漏洞来看,绝大多数都是针对某一个特定的端口的,所以漏洞扫描技术以与端口扫描技术同样的思路来开展扫描的。漏洞扫描技术的原理是主要通过以下两种方法来检查目标主机是否存在漏洞,在端口扫描后得知目标主机开启的端口以及端口上的网络服务,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在,通过模拟黑客的攻击手法,对目标主机系统进行攻击性的安全漏洞扫描,若模拟攻击成功,则表明目标主机系统存在安全漏洞
springboot 网站漏洞扫描
05-17
Spring Boot 是目前非常流行的 Java Web 框架,由于其简单易用、快速开发等特点,越来越多的企业和开发者开始采用它构建 Web 应用程序。然而,随着应用程序的增多,安全问题也逐渐暴露出来,网站漏洞扫描是一种有效的手段来发现和修复这些漏洞。 以下是一些常见的 Spring Boot 网站漏洞扫描技术: 1. 越权访问漏洞扫描:检测是否存在未授权的访问漏洞,如未授权访问 API 接口、未授权访问数据库等。 2. SQL 注入漏洞扫描:检测是否存在 SQL 注入漏洞,如通过 URL 参数、表单提交等方式传入的恶意 SQL 语句。 3. XSS 漏洞扫描:检测是否存在 XSS 漏洞,如通过 URL 参数、表单提交等方式传入的恶意 JavaScript 代码。 4. CSRF 漏洞扫描:检测是否存在 CSRF 漏洞,如未正确使用 CSRF token 防御技术导致的攻击。 5. 文件上传漏洞扫描:检测是否存在文件上传漏洞,如未正确限制上传文件类型、大小等导致的攻击。 以上漏洞扫描技术可以通过开源的漏洞扫描工具进行实现,如 OWASP ZAP、Nmap 等。此外,还可以使用商业漏洞扫描工具,如 Nessus、Acunetix 等。同时,建议开发者在开发过程中注重安全性,采用安全编码实践和安全框架,如 Spring Security 等,以提高应用程序的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Buffedon

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值