网络安全-渗透测试-Kali Linux教程篇 篇(六) 漏洞分析-02——AppScan-轻量级Web漏洞扫描、安全审计工具
本文目录
- 关于本篇
- 声明
- 正文
- AppScan
- 安装教程
- 使用教程
- Web Application Scan
关于本篇
本篇是网络安全-渗透测试-Kali Linux教程篇 第六篇 漏洞分析部分的第二篇文章。
本文主要讲解对象:AppScan、NetSparker。
上述两个工具并非处于Kali Linux工具集中,但由于Kali的漏扫工具少之又少,所以加入其他知名工具作为填充。Appscan以及Netsparker均需要在Windows平台运行。本文将会介绍安装和使用,评论区附下载链接。
声明
本文作者:南城无笙
发布时间:2022/5/8 晚
本文中所提及工具、技术均不可用于非法用途,本文中各操作仅作教育、演示作用,且使用了内网靶机,读者进行尝试时应当使用靶机,切勿随意对他人合法网络资产做进攻性行动。
在一些SRC中,一定要注意是否允许使用此类工具。
正文
AppScan
AppScan是IBM公司所创作的一款Web漏洞扫描器,相比于nikto这种基于命令行的扫描器,其具有一个友好的UI界面。
在下载好安装包后,就可以开始进行AppScan的安装。(建议于虚拟机中进行安装、测试,话虽如此,但是为了方便,本人直接于物理机进行安装)。
安装教程
下载完成过后,双击AppScan_v10.0.7.28150.exe出现如下界面:
这里为了看着方便,选择简中。选择确定。
然后安装程序开始解压安装程序:
在这个界面等待解压完成后,就进入了正式的安装程序,到了第一个页面也就是同意各种条款的,没啥好说的,两步操作:
然后就选择下一步,这里就开始选择安装目录了,由于我C盘分配的特别少,所以直接塞D盘里了,正常这里根据个人需求进行选择,然后选择安装即可:
然后会进入到这个界面:
在这个界面等待安装完成。安装完成后不要着急使用,因为还需要加入破解补丁:
上图中是压缩包中破解补丁文件夹下的两个dll文件,安装完成后,将这两个文件复制,并在安装目录下替换原有的两个文件即完成了破解。双击快捷方式即可打开,加载界面:
使用教程
如此鼎鼎大名的工具的功能当然是多出花了,真正细讲甚至都能单开一个系列,所以这里无法过多赘述,只讲解最基础的功能的使用。(更详细的讲解以后可能会放到VIP文章去写。),这里我们采用的靶机是物理机上的AVWS靶场。
我们进入之后,主界面是这样的:
这里其实扫描功能多的已经让我头疼了,一个一个讲吧。
Web Application Scan
先讲讲这个Web Application Scan,字面意思,Web应用程序扫描,这应该是最常用的功能之一,主界面上方,点击File,下拉选项中,选择New,选择Web Application Scan:
点击之后会出现如下的配置扫描的窗口:
我们以靶机为例:靶机URL:http://127.0.0.1/,上图中,
Start the scan from this url
下的框中,填写要扫描的URL。Scan only links in and below this directory
代表仅仅扫描该目录下的页面,这里为了节省时间,我选中了这个。Treat all paths as case-sensitive
代表区分路径大小写。Additional Servers and Domains
当要扫描的目标不止一个时,可以将其他的目标填写在这里。I need to configure additional settings (proxy,HTTP Authentication)
:这个是用来配置代理、HTTP鉴权验证的,一般情况下用不到。
配置完上述内容后就可以选择Next了。进入下一个:
当目标站点需要登陆的时候,或者有测试用的账户的时候,可以在这里进行登录录制或者账密的输入来进行自动登录(这种主动扫描不比被动扫描那么灵活),当然,如果不需要登陆操作,选择None即可,由于DVWA需要在进入时候输入账密,所以我就对此进行了登陆录制。
I want to configure In-Session detection options
代表配置会话中检测选项,可以理解为login management 的详细配置。
接下来的页面就是选择Test Policy也就是测试策略:
预定义策略:
Default
默认Application-Only
只应用程序Infrastructure-Only
只基础结构Third Party-Only
只第三方Invasive
进攻性Complete
完整的扫描Web Services
Web服务The Vital Few
至关重要的少数部分Developer Essentials
开发人员要点Pruduction Site
生产环境站:该策略下会停用一些影响到正常业务的测试Send tests on login pages
向登陆页面发送测试Do not send session idenfitiers when testing login pages
测试登陆页面时不要发送鉴权会话
选择完策略之后,就进入到了下一个页面,这个页面也就是选择一下扫描速度,这个针对想要的扫描的详细程度而定:
然后Next:
上图就是选择是立即开始扫描还是其他,这里不多赘述,直接开始
然后会有这样一个询问的对话框弹出来:
意思就是是否要自动保存扫描,这个根据个人情况决定。
此时扫描就开始了:
然后接下来等待结果就OK了。扫描结果实在是懒得再解读了,其实就那么点内容,这个还有一点就是可以生成pdf报告,扫描完成后点击report选择一个模板就可以让它给你自动生成一个报告,可以自定义logo等,效果还是不错的。
本篇文章到这里就结束了,博主本人精力和体力原因所以就先发这么多。
网络安全-渗透测试-Kali Linux教程篇 篇(六) 漏洞分析-02——AppScan-轻量级Web漏洞扫描、安全审计工具相关推荐
- 网络安全-渗透测试-Kali Linux教程系列篇 篇(三)信息收集-02
Kali Linux 系列 No.3 信息收集-03 前言:在上一篇中,对于Nmap.Masscan两款主流的主机扫描.端口扫描工具进行了讲解,本文继续对其他优秀工具进行介绍. 声明:本文章中所提及的 ...
- 渗透测试-Kali Linux学习(Linux基础、Shell编程、渗透测试软件)
目录 目录结构 SSH连接 开关机与重启 关机 重启 文件目录 目录 显示/切换 创建与删除 文件 创建 复制 移动 查看 重定向和追加 软链接 查找 备份与压缩 .gz .zip .tar.gz 用 ...
- 渗透测试kali Linux常用工具
kali Linux工具帮你评估 Web 服务器的安全性,并帮助你执行黑客渗透测试. 注意:这里不是所提及的所有工具都是开源的. Nmap 1621507756_60a63eac521c0abeb99 ...
- 视频教程-Kali Linux 网络安全渗透测试-渗透测试
Kali Linux 网络安全渗透测试 8年工作经验,精通C#,php,python编程语言. 张添翔 ¥179.00 立即订阅 扫码下载「CSDN程序员学院APP」,1000+技术好课免费看 APP ...
- 89.网络安全渗透测试—[常规漏洞挖掘与利用篇5]—[文件包含漏洞详解实战示例]
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一.文件包含漏洞详解 1.文件包含漏洞相关概念 2.PHP文件包含漏洞相关概念 3.PHP文件包含漏洞利用:`构 ...
- 90.网络安全渗透测试—[常规漏洞挖掘与利用篇6]—[文件包含-PHP封装伪协议详解实战示例]
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一.文件包含-PHP封装伪协议简介 1.php内置封装协议 2.data://命令执行-伪协议 3.zip:// ...
- 第1章 Kali Linux入门 一篇就够了
文章目录 第1章 Kali Linux入门 1.1 Kali的发展简史 1.2 Kali Linux工具包 1.3 下载Kali Linux 1.4 使用Kali Linux 1.4.1 Live D ...
- 渗透测试-Kali入侵Win7主机
前言 严正声明:本文仅限于技术讨论与分享,严禁用于非法途径. 本文目的:演示如何借助Kali Linux系统的Metasploit渗透测试框架生成远程控制木马,然后感染局域网内的 Win 7主机,从而 ...
- base64 linux_渗透测试常用Linux命令总结
作为一名网络安全工作者,一说到渗透测试,所有人都会想到Kali Linux,Kali Linux系统是一款预装了许多渗透测试软件的Linux系统,是最常用的一款渗透测试系统工具,既然是一款Linux系 ...
最新文章
- MongoDB 2.5 版本将提供新的查询引擎
- vscode跳转到指定行快捷键
- 让就医流程更智能 道一循推医院官方APP
- Androidx 切换多语言失效解决方案(appcompat版本有关)
- scrollTop、scrollHeight、offsetTop、offsetHeight、clientTop、clientHeight区别
- android随机生成字符串,Android随机字符串生成器
- 《Java从入门到放弃》JavaSE入门篇:多线程(入门版)
- error: Microsoft Visual C++ 14.0 or greater is required. Get it with “Microsoft C++ Build Tools“: h
- 计算机上岗证学校,计算机岗位资格证
- 如何创建属于你自己的域名邮箱
- 基于OpenStack的云测试平台
- 图片去水印软件分享!这三个好用的软件不能错过!​
- type、dtype和astype
- 关于webrtc的多人视频会议的杂乱记录
- 一文读懂数据治理怎么做
- arduino nano电路图
- Flutter学习第十四天:Flutter类似于淘宝的首页照片墙功能,让你的界面更加美观灵活?
- ubuntu下安装极品五笔
- php 字符串不相等判断,php简单判断两个字符串是否相等的方法
- 阿里云发生故障会怎样
热门文章
- 计算机网络概念梳理 第一章
- 最新手机号码、电话号码正则表达式js
- 复平面上gamma函数_Gamma函数深入理解
- S7-200SMART与MCGS触摸屏进行RS485通信的具体方法示例
- 基于Azure Kinect DK的人体姿态跟踪监测,获取关节信息(Windows)
- 东风汽车集团技术中心携手永洪科技,实现一站式数字化转型!
- CSDN博客写文章如何选择封面,看完这篇博客就够了(数千字手把手教学)
- 查看服务器内存条坏的位置,怎么查看剩余服务器内存
- Python学习笔记(11) 如何用爬虫完整抓取搜狐新闻文章?
- js-file-download ,文件下载