web目標(biāo)站點(diǎn)漏洞掃描工具6款介紹
滲透測(cè)試收集信息完成后,就要根據(jù)所收集的信息,掃描目標(biāo)站點(diǎn)可能存在的漏洞了,包括我們之前提到過的如:SQL注入漏洞、跨站腳本漏洞、文件上傳漏洞、文件包含漏洞及命令執(zhí)行漏洞等,通過這些已知的漏洞,來尋找目標(biāo)站點(diǎn)的突破口,在這之前我們可能就已經(jīng)接觸過許多漏洞靶場(chǎng),練習(xí)過各種漏洞的攻擊方法,其實(shí)這種練習(xí)是不合理的,原因就是缺少了前期的信息收集和漏洞掃描,明確告訴了你站點(diǎn)的所有信息和所存在的漏洞,我們只需要根據(jù)具體漏洞,對(duì)癥下藥就可以了,其實(shí)對(duì)于一次真正意義上的滲透測(cè)試來說,這些信息都是需要我們自己去收集的,漏洞也是要我們自己發(fā)掘的。
一、Nessus
Nessus號(hào)稱是世界上最流行的漏洞掃描程序,全世界有超過75000個(gè)組織在使用它。該工具提供完整的電腦漏洞掃描服務(wù),并隨時(shí)更新其漏洞數(shù)據(jù)庫。Nessus不同于傳統(tǒng)的漏洞掃描軟件,Nessus可同時(shí)在本機(jī)或遠(yuǎn)端上遙控,進(jìn)行系統(tǒng)的漏洞分析掃描。Nessus也是滲透測(cè)試重要工具之一。
****工具下載鏈接:****https://www.tenable.com/downloads/nessus?loginAttempted=true
二、AWVS
Acunetix Web Vulnerability Scanner(簡(jiǎn)稱AWVS)是一款知名的網(wǎng)絡(luò)漏洞掃描工具,它通過網(wǎng)絡(luò)爬蟲測(cè)試你的網(wǎng)站安全,檢測(cè)流行安全漏洞,它的官方網(wǎng)站是:https://www.acunetix.com,我剛才看了一眼沒有找到試用版下載鏈接,之前是有的,可以免費(fèi)試用14天,當(dāng)然你也可以去網(wǎng)上搜索破解版進(jìn)行下載安裝,有經(jīng)濟(jì)實(shí)力的朋友可以考慮購買正版軟件,下圖就是AWVS的主界面,里邊還保存著我掃描過的兩個(gè)站點(diǎn),發(fā)現(xiàn)了4個(gè)高危漏洞,4個(gè)中危漏洞和20個(gè)低危漏洞。
工具下載鏈接:https://www.sqlsec.com/2020/04/awvs.html
三、ZAP
OWASP Zed攻擊代理(ZAP)是世界上最受歡迎的免費(fèi)安全審計(jì)工具之一,由數(shù)百名國際志愿者積極維護(hù),它可以幫助您在開發(fā)和測(cè)試應(yīng)用程序時(shí)自動(dòng)查找Web應(yīng)用程序中的安全漏洞,它的主要功能有:本地代理、主動(dòng)掃描、被動(dòng)掃描、Fuzzy和暴力破解等,以下就是ZAP的主界面,在攻擊地址欄里輸入目標(biāo)站點(diǎn)域名或IP點(diǎn)擊攻擊就可以了。
**工具下載鏈接:**https://github.com/zaproxy/zaproxy/releases/tag/v2.10.0
四、w3af
w3af是一個(gè)Web應(yīng)用程序攻擊和檢查框架,該項(xiàng)目已超過130個(gè)插件,其中包括檢查網(wǎng)站爬蟲、SQL注入(SQL Injection)、跨站(XSS)、本地文件包含(LFI)、遠(yuǎn)程文件包含(RFI)等,該項(xiàng)目的目標(biāo)是要建立一個(gè)框架,以尋找和開發(fā)Web應(yīng)用安全漏洞,所以很容易使用和擴(kuò)展,w3af常用的是在Linux系統(tǒng)下,并且已經(jīng)集成到了kaili中了,能被kaili選中的,都是非常好的工具,下圖是windows版的
工具下載鏈接:http://w3af.org/download
五、北極熊
北極熊是一款綜合性的掃描工具,前期的信息收集我們也提到過,那里我們說它是一款爬蟲工具有些片面了,也許是我經(jīng)常用它來爬蟲,其實(shí)它也集成了網(wǎng)站檢測(cè)和漏洞掃描功能,只不過它得一步一步的使用,首先對(duì)目標(biāo)站點(diǎn)進(jìn)行爬蟲,再將爬蟲過的結(jié)果導(dǎo)入網(wǎng)站檢測(cè)當(dāng)中掃描,也可以根據(jù)前期信息收集情況,選擇對(duì)應(yīng)的選項(xiàng),提高掃描效率,北極熊掃描器也可以通過網(wǎng)上搜索下載
**工具下載鏈接:**https://github.com/euphrat1ca/polar-scan
六、御劍
御劍后臺(tái)掃描珍藏版是T00LS大牛的作品,方便查找用戶后臺(tái)登陸地址,附帶很強(qiáng)大的字典,字典也是可以自己修改的,使用方法也非常簡(jiǎn)單,只需要在“域名框”輸入你要掃描的域名即可,用戶可根據(jù)自身電腦的配置來設(shè)置調(diào)節(jié)掃描線程,集合DIR掃描、ASP、ASPX、PHP、JSP、MDB數(shù)據(jù)庫,包含所有網(wǎng)站腳本路徑掃描,默認(rèn)探測(cè)200 (也就是掃描的網(wǎng)站真實(shí)存在的路徑文件),我在之前信息收集工具介紹中也提到過御劍,其實(shí)是想介紹御劍指紋識(shí)別系統(tǒng)的,現(xiàn)在已經(jīng)更改,在域名欄輸入目標(biāo)站點(diǎn)域名點(diǎn)擊掃描就可以了,如果前期信息收集全面,可以選擇站點(diǎn)后臺(tái)語言,
**工具下載鏈接:**https://github.com/foryujian/yjdirscan
七、總結(jié)
文章介紹了滲透測(cè)試中信息收集后的漏洞掃描階段,推薦了Nessus、AWVS、ZAP、w3af、北極熊和御劍等工具,涵蓋漏洞檢測(cè)、爬蟲分析、腳本掃描等功能,強(qiáng)調(diào)真實(shí)滲透測(cè)試需自主收集信息并挖掘漏洞,而非依賴預(yù)設(shè)數(shù)據(jù)。
到此這篇關(guān)于web目標(biāo)站點(diǎn)漏洞掃描工具6款介紹的文章就介紹到這了,更多相關(guān)6個(gè)web漏洞掃描工具內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!
相關(guān)文章
kali-linux?202202?安裝w3af命令行版的詳細(xì)過程
這篇文章主要介紹了kali-linux?202202?安裝w3af命令行版,本文給大家介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或工作具有一定的參考借鑒價(jià)值,需要的朋友可以參考下2022-06-06elasticsearch.yml配置文件解讀(ES配置詳解)
elasticsearch的config文件夾里面有一個(gè)主配置文件:elasticsearch.yml是es的基本配置文件,下面主要講解下elasticsearch.yml這個(gè)文件中可配置文件,感興趣的朋友一起看看吧2024-08-08網(wǎng)址(URL)支持的最大長(zhǎng)度是多少?最大支持多少個(gè)字符?
這篇文章主要介紹了網(wǎng)址(URL)支持的最大長(zhǎng)度是多少?最大支持多少個(gè)字符?本文總結(jié)了IIS、apache服務(wù)器及瀏覽器軟件Internet Explorer、Firefox、Opera、chrome等主流的瀏覽器軟件支持情況,需要的朋友可以參考下2015-07-07Deepseek R1模型本地化部署+API接口調(diào)用詳細(xì)教程(釋放AI生產(chǎn)力)
本文介紹了本地部署DeepSeekR1模型和通過API調(diào)用將其集成到VSCode中的過程,作者詳細(xì)步驟展示了如何下載和部署DeepSeekR1模型,并提供了解決下載問題的建議,最后,作者解釋了如何在VSCode中使用Cline插件調(diào)用DeepSeekAPI,以實(shí)現(xiàn)智能編碼輔助,感興趣的朋友一起看看吧2025-02-02通過lms.samples熟悉lms微服務(wù)框架的使用詳解
這篇文章主要介紹了通過lms.samples熟悉lms微服務(wù)框架的使用,本文給大家介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或工作具有一定的參考借鑒價(jià)值,需要的朋友可以參考下2021-04-04Typora配置PicGo時(shí)提示Failed?to?fetch的問題解決(typora圖像問題)
這篇文章主要介紹了Typora配置PicGo時(shí)提示Failed?to?fetch的問題解決(typora圖像問題),本文給大家介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或工作具有一定的參考借鑒價(jià)值,需要的朋友可以參考下2023-04-04使用Visual Studio進(jìn)行文件差異比較的問題小結(jié)
這篇文章主要介紹了使用Visual Studio進(jìn)行文件差異比較,本文給大家介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或工作具有一定的參考借鑒價(jià)值,需要的朋友可以參考下2021-07-07Maui Blazor 使用攝像頭實(shí)現(xiàn)代碼
由于Maui Blazor中界面是由WebView渲染,所以再使用Android的攝像頭時(shí)無法去獲取,因?yàn)樵臄z像頭需要綁定界面組件,這篇文章主要介紹了Maui Blazor 使用攝像頭實(shí)現(xiàn),需要的朋友可以參考下2023-01-01