BackTrack Web安全检测工具的使用
程序员文章站
2024-01-19 12:20:04
1.Nikto2
简介:Nikto2 是一款使用perl语言写的多平台扫描软件,是
一款命令行模式的工具,它可以扫描指定主机的WEB类型
主机名、特定目录、Cookie、特定CGI漏洞、...
1.Nikto2
简介:Nikto2 是一款使用perl语言写的多平台扫描软件,是
一款命令行模式的工具,它可以扫描指定主机的WEB类型
主机名、特定目录、Cookie、特定CGI漏洞、XSS漏洞、sql
注入漏洞、返回主机允许的http方法等安全问题。
位置:/pentest/web/nikto
用法 1:./nikto.pl -h www.8090sec.com -o 8090sec.txt
用法 2:./nikto.pl -h www.8090sec.com -p 80,8080
用法 3:./nikto.pl -h www.8090sec.com -T 扫描类型代码
用法 4:./nikto.pl -h www.8090sec.com -c -T
【扫描类型代码】:
0-检查文件上传页面
1-检查web日志中可疑的文件或者攻击
2-检查错误配置或默认文件
3-检查信息泄露问题
4-检查注射(XSS/Script/HTML)问题
5-远程文件索引(从内部根目录中检索是否存在不经授权可访问的
文件)
6-检查拒绝服务问题
7-远程文件索引(从任意位置检索是否存在不经授权可访问的文件 )
8-检查是否存在系统命令执行漏洞
9-检查SQL注入
a-检查认证绕过问题
b-识别安装的软件版本等
c-检查源代码泄露问题
x-反向连接选项
2.W3AF
简介:W3AF是一个用python开发的web安全综合审计平台
通过增加插件来对扩展其功能,支持GUI和命令行两种界面
位置:/pentest/web/w3af
打开图形化界面:./w3af_gui
3.Wfuzz
简介:Wfuzz是一款用来进行web应用暴力猜解的工具,支
持对网站目录、登录信息、应用资源文件等的暴力猜解,
还可以进行get及post参数的猜解,sql注入、xss漏洞的测试
等。该工具所有功能都依赖于字典。
位置:/pentest/web/wfuzz
用法 1:./wfuzz.py -c -z file -f 字典 --hc 404 --html
http://www.8090sec.com/FUZZ 2>ok.html
用法 2:./wfuzz.py -c -z range -r 1-100 --hc 404 --html
http://www.8090sec.com/xxx.asp?id=FUZZ 2>ok.html
用法 3:./wfuzz.py -c -z file -f 字典 -d
"login=admin&pwd=FUZZ" --hc 404
http://www.8090sec.com/login.php
简介:Nikto2 是一款使用perl语言写的多平台扫描软件,是
一款命令行模式的工具,它可以扫描指定主机的WEB类型
主机名、特定目录、Cookie、特定CGI漏洞、XSS漏洞、sql
注入漏洞、返回主机允许的http方法等安全问题。
位置:/pentest/web/nikto
用法 1:./nikto.pl -h www.8090sec.com -o 8090sec.txt
用法 2:./nikto.pl -h www.8090sec.com -p 80,8080
用法 3:./nikto.pl -h www.8090sec.com -T 扫描类型代码
用法 4:./nikto.pl -h www.8090sec.com -c -T
【扫描类型代码】:
0-检查文件上传页面
1-检查web日志中可疑的文件或者攻击
2-检查错误配置或默认文件
3-检查信息泄露问题
4-检查注射(XSS/Script/HTML)问题
5-远程文件索引(从内部根目录中检索是否存在不经授权可访问的
文件)
6-检查拒绝服务问题
7-远程文件索引(从任意位置检索是否存在不经授权可访问的文件 )
8-检查是否存在系统命令执行漏洞
9-检查SQL注入
a-检查认证绕过问题
b-识别安装的软件版本等
c-检查源代码泄露问题
x-反向连接选项
2.W3AF
简介:W3AF是一个用python开发的web安全综合审计平台
通过增加插件来对扩展其功能,支持GUI和命令行两种界面
位置:/pentest/web/w3af
打开图形化界面:./w3af_gui
3.Wfuzz
简介:Wfuzz是一款用来进行web应用暴力猜解的工具,支
持对网站目录、登录信息、应用资源文件等的暴力猜解,
还可以进行get及post参数的猜解,sql注入、xss漏洞的测试
等。该工具所有功能都依赖于字典。
位置:/pentest/web/wfuzz
用法 1:./wfuzz.py -c -z file -f 字典 --hc 404 --html
http://www.8090sec.com/FUZZ 2>ok.html
用法 2:./wfuzz.py -c -z range -r 1-100 --hc 404 --html
http://www.8090sec.com/xxx.asp?id=FUZZ 2>ok.html
用法 3:./wfuzz.py -c -z file -f 字典 -d
"login=admin&pwd=FUZZ" --hc 404
http://www.8090sec.com/login.php
推荐阅读
-
BackTrack Web安全检测工具的使用
-
使用Servlet和JSP实现一个简单的Web聊天室系统
-
简单十大步骤保护IIS Web服务器的安全
-
看好你的门-客户端传数据(10)-不安全的HTML禁用元素_html/css_WEB-ITnose
-
如何使用JS或css去掉a标签点击时、点击中、点击后的颜色_html/css_WEB-ITnose
-
编译安装好的新版本php,如何让web端使用这个新的SegmentFault
-
WEB安全:什么是Cookie,Cookie数据泄漏的危害
-
WEB安全:什么是Cookie,Cookie数据泄漏的危害
-
Java Web 网络商城案例演示十六 订单详情功能(支付功能的实现使用易付宝)
-
如何使用Java生成具有安全哈希的QR码