漏洞扫描器
0x001 漏洞扫描工具
1. Nessus
下载地址:https://www.tenable.com/downloads/nessus?loginAttempted=true
安装过程可以查看文章:https://cloud.tencent.com/developer/article/2148812
点击 new scan 新建扫描
漏洞扫描,选择 Web Application Tests 即可
扫描选相关根据自己的实际情况填写,没有的话选择默认,点击扫描即可。
2. Acunetix WVS
Acunetix WVS是一个Web漏洞扫描器自动检查web应用程序。这个工具特别擅长扫描跨站点脚本漏洞,SQL注入、弱密码破解等。Acunetix用于测试你的网站,web应用程序是否安全,通过抓取和分析发现可能的SQL注入。通过测试,它可以列出详细报告,并据此加固web应用程序。
下载地址:https://www.acunetix.com/download/fullver14/
官网下载的只有14天的体验时间,如果想下载永久版的可以在网上搜索注册机
安装过程可以查看文章:https://zhuanlan.zhihu.com/p/102570351
简单使用:
点击 targets-->add target 添加目标
输入目标 IP ,Description(描述)可写可不写,点击保存。
此处根据自己遇到的情况进行选择
对有账号和密码的网站进行扫描,此处可以打开 Site Login ,点击 new 。
此时,会访问目标 IP 并弹出一个 web 页面,然后输入账号和密码,确认扫描即可。
3. goby
安装之后点击 Goby.exe 文件运行即可。
点击扫描,新建扫描任务
- IP/Domain:可以填写 IP 地址或者域名
- Black IP:可以填写多 IP 段地址,如192.168.1.0/24 192.168.2.0/24
- 端口:根据自己的实际情况进行选择
点击高级配置
可以选择自己想要的漏洞对目标进行检测。
4. Burpsuite
Burp Suite是一个平台,其中包含不同类型的工具,它们之间有许多接口,旨在促进和加速攻击应用程序的过程。所有这些工具共享相同的框架来显示和处理HTTP消息、身份验证、持久性、日志记录、警报、代理和可扩展性。
抓取目标网站的数据包
此时可以点击网站的每个页面,然后这些页面会在 Target 下面生成网站树
然后选中目标网站,点击右键,选择 scan-->open scan launcher 新建扫描,items to scan 出现的内容就是你要扫描的目标
点击 OK 即可开始扫描,扫描进度和结果会显示在 Dashboard
目前常用的就这几款扫描器,后面接触到了再进行更新。。。
