skipfish 主动扫描web安全评估工具
有特征?
- 開發語言:C語言
- 命令行掃描器
- 主動掃描web安全評估工具
- 谷歌開發
- 已經不再進行維護
- 重點關注web代碼
- 通過兩種方式進項掃描:1、字典枚舉 2、遞歸爬網
- 優點:速度快、支持多路單線程,全異步網絡I/O,消除內存管理和調度開銷、支持啟發式自動內容識別、相對來說誤報較低
使用介紹
Welcome to skipfish. Here are some useful tips: ? ?#?歡迎來到skipfish。這里有一些有用的技巧:
1) To abort the scan at any time, press Ctrl-C. A partial report will be written
to the specified location. To view a list of currently scanned URLs, you can
press space at any time during the scan. ??#若要在任何時間中止掃描,請按CTRL+C 程序會編寫部分報告,在指定的位置。若要查看當前掃描URL的列表,可以在掃描過程中隨時按空格鍵查看。
2) Watch the number requests per second shown on the main screen. If this figure
drops below 100-200, the scan will likely take a very long time.#注意主屏幕上每秒顯示的數字請求。如果這個數字
降到100-200以下,掃描可能要花很長時間。
3) The scanner does not auto-limit the scope of the scan; on complex sites, you
may need to specify locations to exclude, or limit brute-force steps.#掃描儀不自動限制掃描范圍;在復雜站點上,您可能需要指定排除或限制蠻力步驟的位置。
4) There are several new releases of the scanner every month. If you run into
trouble, check for a newer version first, let the author know next. #每個月都有幾個掃描儀的新版本。如果你遇到麻煩,先檢查一個更新版本,讓作者知道下一步。
更多信息:?http://code.google.com/p/skipfish/wiki/KnownIssues
掃描方法
1、skipfish -o text http://1.1.1.1 #使用skipfish掃描http://1.1.1.1并將結果保存在text文檔里
2、skipfish -o text @url.txt #創建一個TXT格式的URL文檔目錄并批量掃描文檔中的url
3、skipfish -o test -S complet.wl -W a.wl http://1.1.1.1 # -S使用字典 (有些網站隱藏里某些界面 -S可以通過預先設置的字典來掃描網站隱藏的界面)-W 發現隱藏目錄并形成字典
4、-I(大寫i)只檢查包含“字段”的url
5、-X 不檢查包含“字段”的url 如:logout
6、-K 不對指定參數進行fuzz(模糊測試)測試
7、-D 跨站點爬另外一個域
8、-l(小寫L)每秒最大請求
9、-m 每ip最大并發連接數
10、--config 指定配置文件
身份認證
身份認證提供多種方式:
1、 ? skipfish -A user:pass -o test http://1.1.1.1 #在基本身份認證的情況下使用開關 -A加用戶名和密碼 進行身份認證
2、 ? skipfish -C “name=val” -o test http://1.1.1.1 #使用cookies進行身份認證 使用開關 -C 加 name=val?
3、 ? 提交賬戶密碼表單方式:
man skipfish #查詢skipfish使用手冊
?
總結
以上是生活随笔為你收集整理的skipfish 主动扫描web安全评估工具的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: bat文件运行java的jar包不弹出d
- 下一篇: yum提示Another app is