【安全牛学习笔记】w3af
|
w3af Web applicaiton Attack and Audit Framework,基于python语言开发 此框架的目标是帮助你发现和利用所有WEB应用程序漏洞 9大类近plugin audit infrastructure grep evasion mangle auth bruteforce outpput crawl |
|
W3af 安装(kali自带版本执行扫描时挂死) cd ~ apt-get update apt-get install -y python-pip w3af pip install --upgrade pip git clone https://github.com/andresriancho/w3af.git cd w3af ./w3af_console (./w3af_gui) apt-get build-dep python-lxml ./tmp/w3af_dependency_install.sh |
自带的w3af,扫描的时候回卡住,关不掉软件,必须结束进程
root@kali:~# ps aux | grep w3af
root@kali:~# kill -9 1944 1495 1497 1508
root@kali:~# cd ~
root@kali:~# apt-get update
命中 http://mirrors.ustc.edu.cn sana InRelease
获取:1 http://mirrors.ustc.edu.cn sana/updates InRelease [11.9 kB]
获取:2 http://mirrors.ustc.edu.cn sana/updates/main Sources [106 kB]
命中 http://mirrors.ustc.edu.cn sana/updates/contrib Sources
命中 http://mirrors.ustc.edu.cn sana/updates/non-free Sources
获取:3 http://mirrors.ustc.edu.cn sana/updates/main amd64 Packages [331 kB]
命中 http://mirrors.ustc.edu.cn sana/updates/contrib amd64 Packages
命中 http://mirrors.ustc.edu.cn sana/updates/non-free amd64 Packages
命中 http://mirrors.ustc.edu.cn sana/main amd64 Packages
命中 http://mirrors.ustc.edu.cn sana/non-free amd64 Packages
命中 http://mirrors.ustc.edu.cn sana/contrib amd64 Packages
忽略 http://mirrors.ustc.edu.cn sana/contrib Translation-zh_CN
忽略 http://mirrors.ustc.edu.cn sana/contrib Translation-zh
忽略 http://mirrors.ustc.edu.cn sana/contrib Translation-en
......
root@kali:~# apt-get install -y python-pip w3af
正在读取软件包列表... 完成
正在分析软件包的依赖关系树
正在读取状态信息... 完成
python-pip 已经是最新的版本。
python-pip 已设置为手动安装。
w3af 已经是最新的版本。
升级了 0 个软件包,新安装了 0 个软件包,要卸载 0 个软件包,有 18 个软件包未被升级。
root@kali:~# pip install --upgrade pip
Downloading/unpacking pip from https://pypi.python.org/packages/py2.py3/p/pip/pip-8.0.3-py2.py3-none-any.whl#md5=b234250205337ff67967dff300001e3d
Downloading pip-8.0.3-py2.py3-none-any.whl (1.2MB): 1.2MB downloaded
Installing collected packages: pip
Found existing installation: pip 1.5.6
Not uninstalling pip at /usr/lib/python2.7/dist-packages, owned by OS
Successfully installemd d pip
Cleaning up...
root@kali:~# git clone https://github.com/andresriancho/w3af.git
正克隆到 'w3af'...
remote: Counting objects: 133697, done.
remote: Total 133697 (delta 0), reused 0 (delta 0), pack-reused 133697
接收对象中: 100% (133697/133697), 157.08 MiB | 151.00 KiB/s, 完成.
处理 delta 中: 100% (102499/102499), 完成.
检查连接... 完成。
root@kali:~# ls
w3af 公共 模板 视频 图片 文档 下载 音乐 桌面
root@kali:~# cd w3af
root@kali:~/w3af# ./w3af_console //命令行界面
w3af's requirements are not met, one or more third-party libraries need to be installed.
On Kali 2.0 systems please install the following operating system packages before running the pip installer:
sudo apt-get -y install libssl-dev libsqlite3-dev libxslt1-dev libyaml-dev
Your python installation needs the following modules to run w3af:
pyclamd github nltk chardet concurrent.futures pyasn1 lxml scapy.config markdown psutil
After installing any missing operating system packages, use pip to install the remaining modules:
sudo pip install pyClamd==0.3.15 PyGithub==1.21.0 nltk==3.0.1 chardet==2.1.1 futures==2.1.5 pyasn1==0.1.8 lxml==3.4.4 scapy-real==2.2.0-dev markdown==2.6.1 psutil==2.2.1
A script with these commands has been created for you at /tmp/w3af_dependency_install.sh
According to Kali's documentation [0] in order to avoid breaking the packaged w3af version you should run the following commands:
cd ~
apt-get install -y python-pip
pip install --upgrade pip
git clone https/github.com/andresriancho/w3af.git
cd w3af
./w3af_console
. /tmp/w3af_dependency_install.sh
[0] http://www.kali.org/kali-monday/bleeding-edge-kali-repositories/
root@kali:~/w3af# cd /tmp/
root@kali:~/tmp# cat w3af_dependency_install.sh //查看w3af命令行依赖包
!/bin/bash
sudo apt-get -y install libssl-dev libsqlite3-dev libxslt1-dev libyaml-dev
sudo pip install pyClamd==0.3.15 PyGithub==1.21.0 nltk==3.0.1 chardet==2.1.1 futures==2.1.5 pyasn1==0.1.8 lxml==3.4.4 scapy-real==2.2.0-dev markdown==2.6.1 psutil==2.2.1
root@kali:~/tmp# apt-get build-dep python-lxml
root@kali:~/tmp# ./w3af_dependency_install.sh //安装w3af命令行依赖包
root@kali:~/tmp# cd
root@kali:~# cd w3af
root@kali:~/w3af# ./w3af_gui //图形化行界面
you python installation needs the following modules to run w3af:
xdot
After installing any missing operating system packages, use pip to install the remaining modules:
sudo pip install xdot==0.6
A script with these commands has been created for you at /tmp/w3af_dependency_install.sh
root@kali:~/w3af# cat /tmp/w3af_dependency_install.sh
#!/bin/bash
sudo pip install xdot==0.6
root@kali:~/w3af# pip install xdot==0.6
Downloading/unpacking xdot==0.6
Downloading xdot-0.6.tar.gz
Running setup.py (path:/tmp/pip-build-xI8Xu7/xdot/setup.py) egg_info for package xdot
Installing collected packages: xdot
Found existing installation: xdot 0.5
Not uninstalling xdot at /usr/lib/python2.7/dist-packages, owned by OS
Running setup.py install for xdot
Installing xdot script to /usr/local/bin
Successfully installed xdot
Cleaning up...
|
W3af 升级 git pull 创建快捷方式 /usr/share/applications/w3af.desktop 用户接口 Console Gui API |
root@kali:~/w3af# cp /usr/share/applications/w3af.desktop /root/桌面/
[Desktop Entry]
Name=w3af
Encoding=UTF-8
Exec=sh -c "/root/w3af/w3af_gui"
Icon=w3af.png
StartupNotify=false
Terminal=false
Type=Application
Categories=03.webapp.analysis;
root@kali:~/w3af# cd
root@kali:~# cd 桌面
root@kali:~/桌面# chmod +x w3af.desktop
root@kali:~/桌面# cd
root@kali:~# cd w3af
root@kali:~/w3af# ./w3af_console //命令行界面
|
W3af W3af_console help #显示可用指令 plugin #进入plugin子命令 Help #显示可用指令 list sqli xxs #选择使用的audi插件 http-setting / misc-setings #全局配置 help view #查看可配置的参数 set #设置参数 back #回到上一级命令 |
root@kali:~/w3af# ./w3af_console //命令行界面
w3af>>> help
w3af>>> plugins
w3af/plugins>>> help
w3af/plugins>>> list aduit
w3af/plugins>>> list grep
w3af/plugins>>> list auth
w3af/plugins>>> list aduit
w3af/plugins>>> aduit xss sqli lfi
w3af/plugins>>> list aduit
w3af/plugins>>> aduit all
w3af/plugins>>> help
w3af/plugins>>> grep all
w3af/plugins>>> crwal
w3af/plugins>>> crwal web_spider
w3af/plugins>>> back
w3af>>> help
w3af>>> profiles
w3af/profiles>>> help
w3af/profiles>>> list
w3af/profiles>>> save_as test
w3af/profiles>>> help
w3af/profiles>>> use fast_scan
w3af/profiles>>> back
w3af>>> help
w3af>>> http-settings
w3af/config:http-settings>>> help
w3af/config:http-settings>>> view
w3af/config:http-settings>>> set rand_user_agent ture
w3af/config:http-settings>>> save
The configuration has been saved.
w3af/config:http-settings>>> back
The configuration has been saved.
w3af>>> help
w3af>>> misc-settings
w3af/config:misc-setting>>> help
w3af/config:misc-setting>>> view
w3af/config:misc-setting>>> back
w3af>>> help
w3af>>> target
w3af/config:target>>> help
w3af/config:target>>> view
w3af/config:target>>> set target http://192.168.1.1
w3af/config:target>>> view
w3af/config:target>>> back
w3af>>> profiles
w3af/profiles>>> save_as test1
|
W3af Profiles save_as self-contained save_as test self-contained Target set target http://1.1.1.1/ Start Script scrpt/*.w3af |
root@kali:~# cd w3af
root@kali:~/w3af# ls
root@kali:~/w3af# cd scripts/
root@kali:~/w3af/scripts# ls
root@kali:~/w3af/scripts# cat sqli.w3af
该笔记为安全牛课堂学员笔记,想看此课程或者信息安全类干货可以移步到安全牛课堂
Security+认证为什么是互联网+时代最火爆的认证?
牛妹先给大家介绍一下Security+
Security+ 认证是一种中立第三方认证,其发证机构为美国计算机行业协会CompTIA ;是和CISSP、ITIL 等共同包含在内的国际 IT 业 10 大热门认证之一,和CISSP偏重信息安全管理相比,Security+ 认证更偏重信息安全技术和操作。
通过该认证证明了您具备网络安全,合规性和操作安全,威胁和漏洞,应用程序、数据和主机安全,访问控制和身份管理以及加密技术等方面的能力。因其考试难度不易,含金量较高,目前已被全球企业和安全专业人士所普遍采纳。
Security+认证如此火爆的原因?
原因一:在所有信息安全认证当中,偏重信息安全技术的认证是空白的, Security+认证正好可以弥补信息安全技术领域的空白 。
目前行业内受认可的信息安全认证主要有CISP和CISSP,但是无论CISP还是CISSP都是偏重信息安全管理的,技术知识讲的宽泛且浅显,考试都是一带而过。而且CISSP要求持证人员的信息安全工作经验都要5年以上,CISP也要求大专学历4年以上工作经验,这些要求无疑把有能力且上进的年轻人的持证之路堵住。在现实社会中,无论是找工作还是升职加薪,或是投标时候报人员,认证都是必不可少的,这给年轻人带来了很多不公平。而Security+的出现可以扫清这些年轻人职业发展中的障碍,由于Security+偏重信息安全技术,所以对工作经验没有特别的要求。只要你有IT相关背景,追求进步就可以学习和考试。
原因二: IT运维人员工作与翻身的利器。
在银行、证券、保险、信息通讯等行业,IT运维人员非常多,IT运维涉及的工作面也非常广。是一个集网络、系统、安全、应用架构、存储为一体的综合性技术岗。虽然没有程序猿们“生当做光棍,死亦写代码”的悲壮,但也有着“锄禾日当午,不如运维苦“的感慨。天天对着电脑和机器,时间长了难免有对于职业发展的迷茫和困惑。Security+国际认证的出现可以让有追求的IT运维人员学习网络安全知识,掌握网络安全实践。职业发展朝着网络安全的方向发展,解决国内信息安全人才的匮乏问题。另外,即使不转型,要做好运维工作,学习安全知识取得安全认证也是必不可少的。
原因三:接地气、国际范儿、考试方便、费用适中!
CompTIA作为全球ICT领域最具影响力的全球领先机构,在信息安全人才认证方面是专业、公平、公正的。Security+认证偏重操作且和一线工程师的日常工作息息相关。适合银行、证券、保险、互联网公司等IT相关人员学习。作为国际认证在全球147个国家受到广泛的认可。
在目前的信息安全大潮之下,人才是信息安全发展的关键。而目前国内的信息安全人才是非常匮乏的,相信Security+认证一定会成为最火爆的信息安全认证。
【安全牛学习笔记】w3af相关推荐
- 【安全牛学习笔记】SQLMAP- 自动注入
课时92 SQLMAP- 自动注入 SQLMAP自动注入 开源sql注入漏洞检测.利用工具 检测动态页面中get/post参数.cookie.http头 数据榨取 文件系统访问 操作系统命令执行 引擎 ...
- 【安全牛学习笔记】扫描工具-Nikto
╋━━━━━━━╋ ┃实验环境 ┃ ┃Metasploitable┃ ┃ Dvwa ┃ ╋━━━━━━━╋ Username admin password password ...
- 【安全牛学习笔记】字典、在线密码破解-hydra
字典 按个人信息生成其专属的密码字典 CUPP: Common User Password Profiler - git clone https://github.com/Mebus/cupp.git ...
- 【安全牛学习笔记】WPS及其他工具WPS
WPS及其他工具 root@kali:~# service network-manager stop root@kali:~# airmon-ng check kill Killing these p ...
- 【安全牛学习笔记】手动漏洞挖掘(三)
手动漏洞挖掘 Directory travarsal / File include(有区别/没区别) 目录权限限制不严 / 文件包含 /etc/php5/cgi/php.ini allow_url_i ...
- 【安全牛学习笔记】其他途径
其他途径 其他途径 社交网络 工商注册 新闻组/论坛 招聘网站 http://www.archive.org/web/web.php 个人专属的密码字典 按个人信息生成其专属的密码字典 CUPP--- ...
- 【安全牛学习笔记】SQLMAP自动注入-REQUEST
SQLMAP自动注入-----REQUEST 数据段: --data get/post都适用 sqlmap -u "http://1.1.1.1/a.php" --data=& ...
- 【安全牛学习笔记】拒绝服务***工具
拒绝服务***工具 Nmap - grep dos /usr/share/nmap/scripts/script.db | cut -d "\"" -f 2 root@K ...
- 【安全牛学习笔记】操作系统识别
该笔记为安全牛课堂学员笔记,想看此课程或者信息安全类干货可以移步到安全牛课堂 Security+认证为什么是互联网+时代最火爆的认证? 牛妹先给大家介绍一下Security+ Security+ 认证 ...
最新文章
- “我为什么反对AI论文强制开源代码”
- Outlook2010怎么关联邮箱 Outlook邮箱关联的教程
- Linux下记录所有用户操作的脚本
- (二)深入了解超文本
- windows进入mysql改user_mysql:Windows修改MySQL数据库密码(修改或忘记密码)
- Chinese_PRC
- 用QT实现一个简单的桌面宠物
- 关于STM8S003F3P6开发的笔记v
- ISBN(国际标准书号)
- word 2016 无法输入中文 输入法失效 只能输入英文
- Python爬虫编程思想(133):项目实战--利用Appium抓取微信朋友圈信息
- python爬虫毕业论文大纲参考模板_毕业论文大纲(目录)模板
- Axure 8.1 正式版 下载地址+密钥
- 教程篇(7.0) 06. FortiGate安全 日志记录和监控 ❀ Fortinet 网络安全专家 NSE 4
- Linux安装deb安装包
- python归一化和反归一化_python:什么是归一化以及怎么做归一化?
- 计算机设备管理主要内容,计算机设备管理方案范本.doc
- yarn 安装vue
- 推荐:随身设备+流量卡,这才是外出上网/出差的最佳搭配!
- Matlab画函数图(修改函数图像和Line属性)