原创力文档- 1、本文档共54页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
Web扫描工具介绍;Web应用漏洞扫描器简介
IBMAppScan
WVS
BurpScanner
W3AF
总结
;Web应用漏洞扫描器简介;什么是Web应用漏洞扫描器?
专门针对Web应用的漏洞扫描器——Web漏扫;
用处:网站管理员在网站上线之前对网站进行平安性自检,提前发现平安漏洞并修复,防止平安隐患。;常见的Web应用漏洞扫描器:
IBMAppScan;
WVS;
BurpSuite——BurpScanner;
W3AF;
Nikto;
WebInspect;
WebScarab;
…………
;IBMAppScan;简介
IBM?SecurityAppScan的?是一款领先的应用平安性测试套件,旨在整个软件开发生命周期中管理漏洞测试。IBMSecurityAppScan自动进行漏洞评估、扫描和检测所有常见的Web应用程序漏洞,包括SQL注入,跨站脚本,缓冲区溢出和Flash/Flex应用程序和Web2.0的漏洞扫描。;操作
新建完全扫描;操作
提示需要配置扫描;操作
配置起始URL;操作
扫描结果;操作
认证设置;操作
测试策略配置;操作
根据漏洞严重性分类的测试策略;操作
局部中等程度危险的漏洞测试工程;操作
最终扫描结果;WVS;简介
WVS(WebVulnerabilityScanner)是一个自动化的Web应用程序平安测试工具,它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规那么的Web站点和Web应用程序。适用于任何中小型和大型企业的内联网、外延网和面向客户、雇员、厂商和其它人员的Web网站。;操作
初始界面;操作
设置扫描URL;操作
设置扫描策略;操作
Target检测;操作
认证设置;操作
认证设置;操作
认证设置;操作
认证设置;操作
认证设置;操作
认证设置;操作
认证设置;操作
扫描设置;操作
正在扫描;操作
查看漏洞详情;操作
查看漏洞详情;BurpScanner;简介
BurpSuite是一个Web应用程序集成攻击平台,它包含了一系列Burp工具,这些工具之间有大量接口可以互相通信,这样设计的目的是为了促进和提高整个攻击的效率。平台中所有工具共享同一robust框架,以便统一处理HTTP请求,持久性,认证,上游代理,日志记录,报警和可扩展性。BurpSuite允许攻击者结合手工和自动技术去枚举、分析、攻击Web应用程序。这些不同的Burp工具通过协同工作,有效的分享信息,支持以某种工具中的信息为根底供另一种工具使用的方式发起攻击;
BurpScanner即BurpSuite套装中的漏洞扫描套件。;操作
代理设置;操作
代理设置;操作
BurpProxy会监听Firefox中的所有HTTP请求;操作
BurpProxy会监听Firefox中的所有HTTP请求;操作
用BurpSpider爬取网站结构;操作
启动BurpScanner;操作
BurpScanner设置;操作
BurpScanner设置;操作
扫描队列;操作
扫描结果;W3AF;简介
W3AF〔WebApplicationAttackandAuditFramework〕是一个Web应用程序攻击和审计框架。它的目标是创立一个易于使用和扩展、能够发现和利用Web应用程序漏洞的主体框架。W3AF的核心代码和插件完全由Python编写。工程已有超过130个的插件,这些插件可以检测SQL注入、跨站脚本、本地和远程文件包含等常见Web应用漏洞。
W3AF有GUI和命令行两种操作模式;操作
扫描配置;操作
认证配置;操作
HTML报表输出配置;操作
扫描状态;操作
扫描结果;总结;
文档评论(0)