文档介绍:该【第3章-Web漏洞扫描工具课件 】是由【xiang1982071】上传分享,文档一共【14】页,该文档可以免费在线阅读,需要了解更多关于【第3章-Web漏洞扫描工具课件 】的内容,可以使用淘豆网的站内搜索功能,选择自己适合的文档,以下文字是截取该文章内的部分文字,如需要获得完整电子版,请下载此文档到您的设备,方便您编辑和打印。第3章Web***工具
教学目标
了解常见的Web***工具
学会使用任一种Web***工具发现漏洞
了解扫描报告的内容
2
Web渗透测试流程
***器可以快速帮助我们发现漏洞。例如,SQL注入漏洞、跨站点脚本攻击XSS。一个好的***器在渗透测试中是至关重要的,可以说是渗透测试成功或失败的关键点。本章介绍几款比较优秀的Web应用程序***器。AWVSweb,Appscan,ZAP等。
AWVSweb扫描器简介
AWVS(AcunetixWebVulnerabilityScanner)是一个自动化的Web应用程序安全测试工具,它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序。WVS可以通过检查SQL注入攻击漏洞、跨站脚本攻击漏洞等来审核Web应用程序的安全性。
AWVSweb功能介绍
WebScanner,核心功能,Web安全***
SiteCrawler,爬虫功能,遍历站点目录结构
TargetFinder,端口扫描,找出web服务器,80,443
SubdomainScanner,子域名扫描器,利用DNS查询
BlindSQLInjector,盲注工具
AWVSweb扫描器
椰树扫描器
椰树WEB***器是一款国产的***器,集成了常见的SQL注入、跨站、后台路径等扫描,并且支持旁站和二级查询、CMS安全检测、漏洞收录查询等,有亮点的是CMS安全检测里面包含了常见的CMS漏洞,比如SHOPXP、DEDECMS、SHOPEX等。
椰树扫描器
OWASPZedAttackProxy(ZAP)
OWASPZedAttackProxy(ZAP)是一个易于使用的集成渗透测试工具,用于查找Web应用程序中的漏洞。它被设计适用于有各种各样安全经验的任何人使用,因此它是开发和功能测试人员理想的渗透测试工具。
特点:免费、开源、跨平台、易用。
下载地址:/ZAP