Web漏洞扫描工具

学了网易Web安全微专业，做一下学习笔记。

敏感文件探测

敏感文件对于网站来说，就像是网站（网站管理员）的秘密日记，这些文件如果没有保护好呗访问者发现了，就有可能暴露网站的脆弱性或保密数据。

敏感文件类型

• 网站管理后台
• 数据文件
• 备份文件
• Webshell

敏感文件探测原理

猜测文件名，然后根据返回的http状态码判断文件是否存在。

敏感文件探测工具举例

御剑，windows下比较容易上手的敏感文件探测工具。主程序+配置文件夹。字典不是越大越好，分门别类存放。如何判断网站脚本类型，判断index文件类型。

---

漏洞扫描工具

工具举例

• AWVS
• Netsparker
• AppScan

漏洞评级

• 技术角度
• 业务角度

扫描结果的解读和运用

• 测试用例可能需要调整
• 存在误报和漏报
• 将扫描结果作为人工测试的基础

注意事项

• 对目标站点的误伤（高流量、请求了危险功能如删除数据库）
• 扫描的盲区：逻辑漏洞

---

SQL注入漏洞测试

发现和利用SQL注入漏洞的基本流程

• 找到有数据库交互的功能页面
• 判断页面是否存在SQL注入
• 利用SQL注入漏洞读取数据
• 导出所需数据保存

sqlmap

• 支持的数据库多：MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase, SAP MaxDB, HSQLDB and Informix.
• 支持的参数位置：GET，POST，cookie，http header
• doc：用户手册
• txt：相关字典
• xml：数据库相关payload
• python sqlmap.py -u “url”
• python sqlmap.py -u “url” –users 查看有哪些用户
• python sqlmap.py -u “url” –dbs 查看有哪些数据库
• python sqlmap.py -u “url” –current-user –current-db 查看当前用户和数据库
• python sqlmap.py -u “url” –tables -D “databaseName” 查看数据库表
• python sqlmap.py -u “url” –columns -T “tableName” -D “databaseName” 查看列信息
• python sqlmap.py -u “url” –count -T “tableName” -D “databaseName” 查看表数据大小
• python sqlmap.py -u “url” –dump -T “tableName” -D “databaseName” 查看表数据

经典SQL注入工具

啊D、明小子、Pangolin（穿山甲）、havij（胡萝卜）

---

在线工具

百度高级搜索

• site:(testphp.vulnweb.com) “login”

谷歌高级搜索

• allinurl: login
• site:testphp.vulnweb.com 搜索特定的站点信息
• 目的：找到目标站点登录地址并且暴力破解密码
• inurl:passlist.txt 找到别人整理好的密码字典
• site:testphp.vulnweb.com inurl:(login|admin) 找到管理页面/登录页面
• intitle: 搜索网页标题中包含指定的字符串的网址
• intext：搜索站点页面内容中具有关键字内容的网址
• 目的：查看目标站点有没有泄露的数据库文件
• filetype: 搜索特定后缀名的文件
• site:testphp.vulnweb.com filetype:sql

bing

• cn.bing.com
• http://global.bing.com/?FORM=HPCNEN&setmkt=en-us&setlang=en-us
• 输入ip:112.124.186.50
• IP站点查询功能、旁站查询

网络空间搜索引擎

• SHODAN
• ZoomEye (https://www.zoomeye.org/)
• FOFA (https://fofa.so/)

网络空间搜索引擎基本原理

• 探测、爬去
• 识别、打标签
• 存储供检索

在线web工具

• whatweb.net 探测站点基本信息
• www.ipip.net IP查询
• www.cmd5.com 加密解密
• tool.chinaz.com 站长工具
• www.anquanquan.info 安全导航站点

---

参考

• 网易“白帽子黑客”训练营
• http://mooc.study.163.com/smartSpec/detail/1001227001.htm