网络攻防之——WEB漏洞扫描

cadaver

这个工具是一个用来浏览和修改WebDAV共享的Unix命令行程序。这种工具就是以一种客户端，命令行的格式链接webdav

DAVtest

测试对支持WebDAV的服务器上传文件等

语法：davtest -url http：//222.28.136.226/dav/

deblaze

针对FLASH远程调用等的枚举，一般在xss或者较深入的web安全中可能会用到

Fimap

文件包含漏洞利用工具

Grabber

Grabber是一个WEB应用漏洞扫描器，可以指定扫描漏洞类型结合爬虫对网站进行安全扫描

joomscan

类似于Wpscan的扫描器，针对特定CMS

SkipFish

skipfish是谷歌出品的一款自动化的网络安全扫描工具，与Nikto，Nessus等工具有相似的功能。它的语法如下：

执行完之后开始发包扫描

扫描结束之后，打开之前创建的report123目录，在目录下找到index.html文件，用浏览器打开，就可以看到这个页面

uniscan

这个工具可以勾选一些选项，然后加上url，然后直接开始扫描就行了

W3AF

w3af是一个web应用程序攻击和检查框架，包括检查网站爬虫，SQL注入，跨站（XSS），本地文件包含（LFI），远程文件包含（RFI）等。该项目的目标是要建立一个框架，以寻找和开发web应用安全漏洞，所以很容易使用和扩展

wapiti

wapiti的工作方式与nikto类似，也采用黑盒的方式主动对被测web应用进行扫描，寻找其中潜在的安全缺陷。

它扫描的方式就是，python wapiti.py http://www.xxxxxx.com -v 2

webshag

一个综合性的调用框架，可以调用Nmap，UScan，信息收集，爬虫等功能，是扫描过程更简单

websploit

主要用于远程扫描和分析系统漏洞，使用它可以非常容易和快速发现系统中存在的问题，并用于深入分析