本文目录

  • 关于本篇
  • 声明
  • 正文
    • AppScan
      • 安装教程
      • 使用教程
        • Web Application Scan

关于本篇

本篇是网络安全-渗透测试-Kali Linux教程篇 第六篇 漏洞分析部分的第二篇文章。
本文主要讲解对象:AppScan、NetSparker。
上述两个工具并非处于Kali Linux工具集中,但由于Kali的漏扫工具少之又少,所以加入其他知名工具作为填充。Appscan以及Netsparker均需要在Windows平台运行。本文将会介绍安装和使用评论区附下载链接

声明

本文作者:南城无笙
发布时间:2022/5/8 晚
本文中所提及工具、技术均不可用于非法用途,本文中各操作仅作教育、演示作用,且使用了内网靶机,读者进行尝试时应当使用靶机,切勿随意对他人合法网络资产做进攻性行动。
在一些SRC中,一定要注意是否允许使用此类工具。

正文

AppScan

AppScan是IBM公司所创作的一款Web漏洞扫描器,相比于nikto这种基于命令行的扫描器,其具有一个友好的UI界面。
在下载好安装包后,就可以开始进行AppScan的安装。(建议于虚拟机中进行安装、测试,话虽如此,但是为了方便,本人直接于物理机进行安装)。

安装教程

下载完成过后,双击AppScan_v10.0.7.28150.exe出现如下界面:

这里为了看着方便,选择简中。选择确定。
然后安装程序开始解压安装程序:

在这个界面等待解压完成后,就进入了正式的安装程序,到了第一个页面也就是同意各种条款的,没啥好说的,两步操作:

然后就选择下一步,这里就开始选择安装目录了,由于我C盘分配的特别少,所以直接塞D盘里了,正常这里根据个人需求进行选择,然后选择安装即可:

然后会进入到这个界面:

在这个界面等待安装完成。安装完成后不要着急使用,因为还需要加入破解补丁:


上图中是压缩包中破解补丁文件夹下的两个dll文件,安装完成后,将这两个文件复制,并在安装目录下替换原有的两个文件即完成了破解。双击快捷方式即可打开,加载界面:

使用教程

如此鼎鼎大名的工具的功能当然是多出花了,真正细讲甚至都能单开一个系列,所以这里无法过多赘述,只讲解最基础的功能的使用。(更详细的讲解以后可能会放到VIP文章去写。),这里我们采用的靶机是物理机上的AVWS靶场。
我们进入之后,主界面是这样的:

这里其实扫描功能多的已经让我头疼了,一个一个讲吧。

Web Application Scan

先讲讲这个Web Application Scan,字面意思,Web应用程序扫描,这应该是最常用的功能之一,主界面上方,点击File,下拉选项中,选择New,选择Web Application Scan:

点击之后会出现如下的配置扫描的窗口:

我们以靶机为例:靶机URL:http://127.0.0.1/,上图中,

  • Start the scan from this url 下的框中,填写要扫描的URL。
  • Scan only links in and below this directory代表仅仅扫描该目录下的页面,这里为了节省时间,我选中了这个。
  • Treat all paths as case-sensitive 代表区分路径大小写。
  • Additional Servers and Domains 当要扫描的目标不止一个时,可以将其他的目标填写在这里。
  • I need to configure additional settings (proxy,HTTP Authentication):这个是用来配置代理、HTTP鉴权验证的,一般情况下用不到。

配置完上述内容后就可以选择Next了。进入下一个:

当目标站点需要登陆的时候,或者有测试用的账户的时候,可以在这里进行登录录制或者账密的输入来进行自动登录(这种主动扫描不比被动扫描那么灵活),当然,如果不需要登陆操作,选择None即可,由于DVWA需要在进入时候输入账密,所以我就对此进行了登陆录制。

  • I want to configure In-Session detection options 代表配置会话中检测选项,可以理解为login management 的详细配置。

接下来的页面就是选择Test Policy也就是测试策略:

预定义策略:

  • Default 默认
  • Application-Only 只应用程序
  • Infrastructure-Only 只基础结构
  • Third Party-Only 只第三方
  • Invasive 进攻性
  • Complete 完整的扫描
  • Web Services Web服务
  • The Vital Few 至关重要的少数部分
  • Developer Essentials 开发人员要点
  • Pruduction Site 生产环境站:该策略下会停用一些影响到正常业务的测试
  • Send tests on login pages 向登陆页面发送测试
  • Do not send session idenfitiers when testing login pages 测试登陆页面时不要发送鉴权会话

选择完策略之后,就进入到了下一个页面,这个页面也就是选择一下扫描速度,这个针对想要的扫描的详细程度而定:

然后Next:

上图就是选择是立即开始扫描还是其他,这里不多赘述,直接开始
然后会有这样一个询问的对话框弹出来:

意思就是是否要自动保存扫描,这个根据个人情况决定。
此时扫描就开始了:

然后接下来等待结果就OK了。扫描结果实在是懒得再解读了,其实就那么点内容,这个还有一点就是可以生成pdf报告,扫描完成后点击report选择一个模板就可以让它给你自动生成一个报告,可以自定义logo等,效果还是不错的。

本篇文章到这里就结束了,博主本人精力和体力原因所以就先发这么多。

网络安全-渗透测试-Kali Linux教程篇 篇(六) 漏洞分析-02——AppScan-轻量级Web漏洞扫描、安全审计工具相关推荐

  1. 网络安全-渗透测试-Kali Linux教程系列篇 篇(三)信息收集-02

    Kali Linux 系列 No.3 信息收集-03 前言:在上一篇中,对于Nmap.Masscan两款主流的主机扫描.端口扫描工具进行了讲解,本文继续对其他优秀工具进行介绍. 声明:本文章中所提及的 ...

  2. 渗透测试-Kali Linux学习(Linux基础、Shell编程、渗透测试软件)

    目录 目录结构 SSH连接 开关机与重启 关机 重启 文件目录 目录 显示/切换 创建与删除 文件 创建 复制 移动 查看 重定向和追加 软链接 查找 备份与压缩 .gz .zip .tar.gz 用 ...

  3. 渗透测试kali Linux常用工具

    kali Linux工具帮你评估 Web 服务器的安全性,并帮助你执行黑客渗透测试. 注意:这里不是所提及的所有工具都是开源的. Nmap 1621507756_60a63eac521c0abeb99 ...

  4. 视频教程-Kali Linux 网络安全渗透测试-渗透测试

    Kali Linux 网络安全渗透测试 8年工作经验,精通C#,php,python编程语言. 张添翔 ¥179.00 立即订阅 扫码下载「CSDN程序员学院APP」,1000+技术好课免费看 APP ...

  5. 89.网络安全渗透测试—[常规漏洞挖掘与利用篇5]—[文件包含漏洞详解实战示例]

    我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一.文件包含漏洞详解 1.文件包含漏洞相关概念 2.PHP文件包含漏洞相关概念 3.PHP文件包含漏洞利用:`构 ...

  6. 90.网络安全渗透测试—[常规漏洞挖掘与利用篇6]—[文件包含-PHP封装伪协议详解实战示例]

    我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一.文件包含-PHP封装伪协议简介 1.php内置封装协议 2.data://命令执行-伪协议 3.zip:// ...

  7. 第1章 Kali Linux入门 一篇就够了

    文章目录 第1章 Kali Linux入门 1.1 Kali的发展简史 1.2 Kali Linux工具包 1.3 下载Kali Linux 1.4 使用Kali Linux 1.4.1 Live D ...

  8. 渗透测试-Kali入侵Win7主机

    前言 严正声明:本文仅限于技术讨论与分享,严禁用于非法途径. 本文目的:演示如何借助Kali Linux系统的Metasploit渗透测试框架生成远程控制木马,然后感染局域网内的 Win 7主机,从而 ...

  9. base64 linux_渗透测试常用Linux命令总结

    作为一名网络安全工作者,一说到渗透测试,所有人都会想到Kali Linux,Kali Linux系统是一款预装了许多渗透测试软件的Linux系统,是最常用的一款渗透测试系统工具,既然是一款Linux系 ...

最新文章

  1. MongoDB 2.5 版本将提供新的查询引擎
  2. vscode跳转到指定行快捷键
  3. 让就医流程更智能 道一循推医院官方APP
  4. Androidx 切换多语言失效解决方案(appcompat版本有关)
  5. scrollTop、scrollHeight、offsetTop、offsetHeight、clientTop、clientHeight区别
  6. android随机生成字符串,Android随机字符串生成器
  7. 《Java从入门到放弃》JavaSE入门篇:多线程(入门版)
  8. error: Microsoft Visual C++ 14.0 or greater is required. Get it with “Microsoft C++ Build Tools“: h
  9. 计算机上岗证学校,计算机岗位资格证
  10. 如何创建属于你自己的域名邮箱
  11. 基于OpenStack的云测试平台
  12. 图片去水印软件分享!这三个好用的软件不能错过!​
  13. type、dtype和astype
  14. 关于webrtc的多人视频会议的杂乱记录
  15. 一文读懂数据治理怎么做
  16. arduino nano电路图
  17. Flutter学习第十四天:Flutter类似于淘宝的首页照片墙功能,让你的界面更加美观灵活?
  18. ubuntu下安装极品五笔
  19. php 字符串不相等判断,php简单判断两个字符串是否相等的方法
  20. 阿里云发生故障会怎样

热门文章

  1. 计算机网络概念梳理 第一章
  2. 最新手机号码、电话号码正则表达式js
  3. 复平面上gamma函数_Gamma函数深入理解
  4. S7-200SMART与MCGS触摸屏进行RS485通信的具体方法示例
  5. 基于Azure Kinect DK的人体姿态跟踪监测,获取关节信息(Windows)
  6. 东风汽车集团技术中心携手永洪科技,实现一站式数字化转型!
  7. CSDN博客写文章如何选择封面,看完这篇博客就够了(数千字手把手教学)
  8. 查看服务器内存条坏的位置,怎么查看剩余服务器内存
  9. Python学习笔记(11) 如何用爬虫完整抓取搜狐新闻文章?
  10. js-file-download ,文件下载