Kali linux 渗透测试——web扫描工具 skipfish

Kali linux 渗透测试——web扫描工具 skipfish

1.简介

Skipfish是一款主动的Web应用程序安全侦察工具。它通过执行递归爬取和基于字典的探测来为目标站点准备交互式站点地图,最终的地图然后用来自许多活动(但希望是不中断的)安全检查的输出来注释,该工具生成的最终报告旨在作为专业Web应用程序安全评估的基础。
优点
1.高速:纯C代码,高度优化的HTTP处理,最小的CPU占用空间 - 轻松实现响应目标的每秒2000个请求
2.易于使用:启发式支持各种古怪的Web框架和混合技术站点,具有自动学习功能,动态词汇表创建和表单自动完成功能
3.尖端的安全逻辑:高质量,低误报率,差分安全检查,能够发现一系列细微的缺陷,包括盲注入矢量

2.实操

1.简单指令如下

 skipfish -o test http://192.168.1.101 #-o指定存放,目标192.168.1.101
 skipfish -o test @url.txt #指定目标IP列表文件
 skipfish -o test -S complet.wl -W abc.wl http://1.1.1.1 #字典

一些比较有用的指令
-I:只检查包含’string’的 URL
-X:不检查包含’string’的URL,例如:logout
-K:不对指定参数进行 Fuzz 测试
-D:跨站点爬另外一个域
-l:每秒最大请求数
-m:每IP最大并发连接数
–config:指定配置文件

2.扫描目标 DVWA 网站
skipfish -I /dvwa/ -o skipfish_test4 http://192.168.10.136/dvwa/
在这里插入图片描述
也可以增加身份认证信息扫描:
skipfish -A user:pass -o test http://192.168.10.136/dvwa/
kipfish -C “name=val” -o http://192.168.10.136/dvwa/
`
例如

skipfish -I /dvwa/ -A admin:password -o skipfish_test5  http://192.168.10.136/dvwa/

3.开始扫描:
Kali linux 渗透测试——web扫描工具 skipfish_第1张图片
扫描详细信息:
Kali linux 渗透测试——web扫描工具 skipfish_第2张图片

4.扫描结果存放在 -o 后面文件的index.html 界面中
Kali linux 渗透测试——web扫描工具 skipfish_第3张图片

你可能感兴趣的:(kali,安全,kali,skipfish,web扫描,渗透测试)