當(dāng)前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

web扫描

發(fā)布時(shí)間：2023/12/10 编程问答 28 豆豆

生活随笔收集整理的這篇文章主要介紹了 web扫描小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.

隨著網(wǎng)站越來越多元化，內(nèi)容或資訊都會(huì)不定期更新，而每個(gè)新增的頁面或連結(jié)，都有可能帶來新的漏洞，因此，網(wǎng)站的安全性檢測(cè)不論在上線前或是每次更新時(shí)，都是務(wù)必檢查的工作。但是手動(dòng)的網(wǎng)站檢測(cè)，對(duì)使用者而言是很大的負(fù)擔(dān)，尤其以目前網(wǎng)站動(dòng)輒數(shù)百至數(shù)千頁，以人工方式對(duì)每一頁進(jìn)行澈底的安全檢測(cè)近乎不可能，此時(shí)，方便而自動(dòng)化的檢測(cè)工具就很重要了。以下介紹幾套好用、便利及自動(dòng)化檢測(cè)的免費(fèi)工具，使用者可以自行上網(wǎng)下載使用，對(duì)網(wǎng)站安全進(jìn)行基本的檢查，降低網(wǎng)站被入侵的風(fēng)險(xiǎn)。二、工具介紹iiscan(億思）億思網(wǎng)站安全檢測(cè)平臺(tái)能夠提供在線的安全檢測(cè)服務(wù)，讓用戶可以在線掃描網(wǎng)站的安全隱患，是目前掃描速度最為理想的國(guó)內(nèi)的掃描工具。針對(duì)與網(wǎng)站的SQL注入，跨站攻擊，網(wǎng)頁篡改等存在漏洞進(jìn)行掃描。目前億思已經(jīng)將網(wǎng)站掃描功能免費(fèi)化了。而且操作簡(jiǎn)單，比較適合一般站長(zhǎng)使用。由于億思只提供web版，故大家只能上它官網(wǎng)掃描，地址見簽名。。。不過這樣也有個(gè)好處，就是把任務(wù)提交就可以，不必占著內(nèi)存等掃描。。Grendel-Scan Grendel-Scan工具是一套自動(dòng)化圖形介面的網(wǎng)站安全性檢測(cè)工具，可運(yùn)行在Windows及Macintosh作業(yè)系統(tǒng)上，并提供Source Code下載。 Grendel-Scan可以檢測(cè)相當(dāng)完整的弱點(diǎn)，包含檔案列舉(File Enumeration)、資訊泄漏(Information Leakage)、連線管理(Session Management)、XSS、惡意攻擊(Miscellaneous Attacks)、應(yīng)用程式架構(gòu)(Application Architecture)、網(wǎng)站設(shè)定(Web Server Configuration)及SQL Injection等弱點(diǎn)分項(xiàng)，使用者可對(duì)每一分項(xiàng)再就需要檢測(cè)的項(xiàng)目進(jìn)行細(xì)部調(diào)整。此外Grendel-Scan亦具備網(wǎng)站爬尋功能，因此在檢測(cè)時(shí)只需提供起始頁面，即可取得網(wǎng)站樹狀結(jié)構(gòu)并對(duì)每一頁面自動(dòng)檢測(cè)。 Grendel-Scan也具備了許多其他好用的功能，例如：選擇是否使用代理伺服器進(jìn)行檢測(cè)、選擇不同的報(bào)告輸出格式、設(shè)定檢測(cè)速度、預(yù)先設(shè)定須登入頁面之帳號(hào)密碼，及設(shè)定檢測(cè)時(shí)URL之黑名單與白名單等，這些都是在從事網(wǎng)頁檢測(cè)時(shí)非常方便的功能。Nikto Nikto工具是一款能對(duì)網(wǎng)站伺服器執(zhí)行多種安全測(cè)試的自動(dòng)化掃描軟體，與其他工具不同的是，Nikto為文字介面之檢測(cè)工具，在操作上或許沒有其他工具那么直覺，但也不算困難，可在命令提示字元下輸入nikto.pl –Help，即可顯示詳細(xì)的操作說明。 Nitko可對(duì)伺服器進(jìn)行全面掃描，包含超過3,500種具有潛在危險(xiǎn)的文件或CGI檔案、超過900種伺服器版本問題及逾250種特定伺服器問題。此外，Nikto的掃描項(xiàng)目和外掛程式仍在持續(xù)更新，只須在命令提示字元下輸入nikto.pl –update，即可至Nikto官網(wǎng)下載最新套件進(jìn)行更新。 Nikto具有另一項(xiàng)特色為掃描速度快，可在最短時(shí)間內(nèi)對(duì)網(wǎng)站伺服器相關(guān)的不安全設(shè)定、錯(cuò)誤的配置及久未更新之過時(shí)軟體進(jìn)行偵測(cè)，是網(wǎng)站檢測(cè)時(shí)一個(gè)很方便的利器。Burp Suite Burp Suite 也是一套JAVA語言撰寫成的網(wǎng)頁代理伺服器型檢測(cè)工具，使用的方法和Paros類似，但在功能上Burp Suite 卻有其獨(dú)特處。使用者將代理伺服器指向Burp Suite，使用爬尋功能取得網(wǎng)站樹狀結(jié)構(gòu)之后，即可將找到的頁面送至Burp Suite中其他如掃描(Scanner)、入侵(Intruder)或重復(fù)注冊(cè)檢測(cè)(Repeater)等功能，其中掃描可檢測(cè)XSS、SQL Injection等弱點(diǎn)，而重復(fù)注冊(cè)檢測(cè)則能測(cè)試網(wǎng)站是否可防范大量注冊(cè)或灌票等弱點(diǎn)。此外，入侵功能可說是Burp Suite最強(qiáng)大的功能之一，可以對(duì)特定頁面?zhèn)魉痛罅坎煌膮?shù)，并觀察特定回傳欄位的變化，對(duì)于暴力破解密碼或Blind SQL Injection的檢測(cè)都非常好用。唯一美中不足的地方是，免費(fèi)版的Burp Suite不支援或只有部分支援某些功能(如免費(fèi)版的入侵功能測(cè)試速度較慢)，但其基本功能足以完成很多的網(wǎng)站弱點(diǎn)測(cè)試，因此在從事網(wǎng)站檢測(cè)時(shí)，仍是一套非常好用的工具。本帖最后由 j8i4a2n6 于前天08:30 編輯 Burp Suite

Burp Proxy - an intercepting HTTP/S proxy server which operates as a man-in-the-middle between the end browser and the target web application, allowing you to intercept, inspect and modify the raw traffic passing in both directions.
Burp Spider - an intelligent application-aware web spider which allows complete enumeration of an application's content and functionality.
Burp Intruder - a highly configurable tool for automating customised attacks against web applications, such as enumerating identifiers, harvesting useful data, and fuzzing for common vulnerabilities.
Burp Repeater - a tool for manually manipulating and re-issuing individual HTTP requests, and analysing the application's responses.
Burp Sequencer - a tool for analysing the quality of randomness in an application's session tokens or other important data items which are intended to be unpredictable.
Burp Decoder - a tool for performing manual or intelligent decoding and encoding of application data.
Burp Comparer - a utility for performing a visual "diff" between any two items of data, normally pairs of related requests and responses.

基本上上面這些是Burp Suite包含的工具

如果想使用有GUI的工具進(jìn)行封包編輯和網(wǎng)頁嗅探就用這套吧

官方網(wǎng)頁 http://portswigger.net/

Burp Suite網(wǎng)頁 http://portswigger.net/suite/

Burp Suite下載點(diǎn) burpsuite_v1.1.zip

Burp Suite是一個(gè)免費(fèi)的網(wǎng)站攻擊工具。它包括proxy、spider、intruder、repeater四項(xiàng)功能。該程序使用Java寫成，需要 JRE 1.4 以上版本。可以在 http://portswigger.net/suite/ 下載，目前最新版本為 1.0.1。

解壓之后執(zhí)行 suite.bat，片刻之后即可啟動(dòng)。

proxy spider intruder repeater

proxy

在本地架設(shè)代理服務(wù)器以截獲并修改瀏覽器發(fā)出的請(qǐng)求。默認(rèn)設(shè)置為 127.0.0.1:8080。使用時(shí)只要將瀏覽器的代理服務(wù)器設(shè)置為 127.0.0.1:8080，burp proxy就會(huì)截獲到瀏覽器發(fā)出的請(qǐng)求，并可方便地進(jìn)行修改之后再向原網(wǎng)站發(fā)出，以達(dá)到篡改cookie、URL、form等目的。

將瀏覽器的代理服務(wù)器設(shè)置為 localhost:8080，然后訪問任意一個(gè)網(wǎng)站。burp proxy即可截獲到該請(qǐng)求。你可以方便地編輯該請(qǐng)求的內(nèi)容，然后按Forward按鈕將編輯之后的請(qǐng)求發(fā)到原網(wǎng)站；或者按Drop按鈕丟棄該請(qǐng)求。

spider

intruder

repeater

burp repeater可以將同樣的請(qǐng)求多次發(fā)送。你可以不斷地修改請(qǐng)求的各種參數(shù)并發(fā)送，以尋找最好的攻擊方法。

轉(zhuǎn)載于:https://www.cnblogs.com/tangge/archive/2011/02/18/1957905.html

總結(jié)

以上是生活随笔為你收集整理的web扫描的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。

上一篇：【Chrome/插件】Chrome 插件
下一篇： [MAC]用beamoff给VMware