kali linux之skipfish，arachni

c语言编写，实验性的主动web安全评估工具，递归爬网，基于字典的探测，速度较快--（多路单线程，启发式自动内容识别），误报率低

 

常用参数

-I 只检查包含/xx/的url

-X 不检查包含/xx/的url

-k 不对指定参数进行fuzz测试

-D 跨站点爬另外一个域

-l 每秒最大请求数

-m 每个ip最大并发连接数

--config 指定配置文件

-o 扫描结果存放的文件名

-S 指定字典（字典是.wl结尾）

 

 

测试

 

 

回车扫描

 

扫描完成后，结果存放路径会提示

 

 

 

 kali默认安装的阉割版，需要下载安装

 下载地址：http://www.arachni-scanner.com/#Linux

 

解压

 

运行web网页./arachni_web

 

运行命令行界面

 

 

登录web后的界面（默认用户名admin@admin.admin，密码administrato）

 

 Scans--扫描模块            Profiles--扫描规则          Dispatchers--连接代理管理分布式扫描的主机节点         Users--用户

 

 

scans扫描，defaul是默认的扫描规则，和openvas一样，自定义配置

 

 高级选项---支持分布式扫描，支持计划任务调度

 

扫描规则

 

 

 分布式节点的主机---端口

 

友情链接 http://www.cnblogs.com/klionsec

               http://www.cnblogs.com/l0cm

               http://www.cnblogs.com/Anonyaptxxx

               http://www.feiyusafe.cn