欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  网络运营

BackTrack Web安全检测工具的使用

程序员文章站 2022-04-22 10:16:32
1.Nikto2 简介:Nikto2 是一款使用perl语言写的多平台扫描软件,是 一款命令行模式的工具,它可以扫描指定主机的WEB类型 主机名、特定目录、Cookie、特定CGI漏洞、...
1.Nikto2
简介:Nikto2 是一款使用perl语言写的多平台扫描软件,是
一款命令行模式的工具,它可以扫描指定主机的WEB类型
主机名、特定目录、Cookie、特定CGI漏洞、XSS漏洞、sql
注入漏洞、返回主机允许的http方法等安全问题。
位置:/pentest/web/nikto
用法 1:./nikto.pl  -h  www.8090sec.com  -o  8090sec.txt
用法 2:./nikto.pl  -h  www.8090sec.com  -p 80,8080
用法 3:./nikto.pl  -h  www.8090sec.com  -T  扫描类型代码
用法 4:./nikto.pl  -h  www.8090sec.com  -c  -T
【扫描类型代码】:
0-检查文件上传页面
1-检查web日志中可疑的文件或者攻击
2-检查错误配置或默认文件
3-检查信息泄露问题
4-检查注射(XSS/Script/HTML)问题
5-远程文件索引(从内部根目录中检索是否存在不经授权可访问的
文件)
6-检查拒绝服务问题
7-远程文件索引(从任意位置检索是否存在不经授权可访问的文件 )
8-检查是否存在系统命令执行漏洞
9-检查SQL注入
a-检查认证绕过问题
b-识别安装的软件版本等
c-检查源代码泄露问题
x-反向连接选项
2.W3AF
简介:W3AF是一个用python开发的web安全综合审计平台
通过增加插件来对扩展其功能,支持GUI和命令行两种界面
位置:/pentest/web/w3af
打开图形化界面:./w3af_gui
3.Wfuzz
简介:Wfuzz是一款用来进行web应用暴力猜解的工具,支
持对网站目录、登录信息、应用资源文件等的暴力猜解,
还可以进行get及post参数的猜解,sql注入、xss漏洞的测试
等。该工具所有功能都依赖于字典。
位置:/pentest/web/wfuzz
用法 1:./wfuzz.py  -c  -z file  -f  字典  --hc 404  --html
http://www.8090sec.com/FUZZ  2>ok.html
用法 2:./wfuzz.py  -c  -z range  -r 1-100  --hc 404  --html
http://www.8090sec.com/xxx.asp?id=FUZZ  2>ok.html
用法 3:./wfuzz.py  -c  -z file  -f  字典  -d
"login=admin&pwd=FUZZ"  --hc 404
http://www.8090sec.com/login.php