web渗透测试小工具使用篇

工具一:nikto

nikto是一款perl语言开发的开源代码web扫描评估软件

基本都支持两种扫描模式。代理截断模式,手动扫描模式

手工扫描:作为用户操作发现页面存在的问题,但可能会存在遗漏

自动扫描:基于字典,提高速度,但存在误报和触发警告

mac安装:

1、首先需要确定电脑上有perl环境,部分环境自带,使用perl -version查看本机有没有perl环境

2、Nikto下载地址:https://cirt.net/nikto/nikto-2.1.5.tar.gz,解压,安装

win安装:

1、安装ActivePerl,默认勾选添加路径PATH;

2、解压nikt-master,添加nikto.pl到PATH路径。

一、扫描目标的IP或URl,端口默认为80

nikto -host


image.png
二、指定目标的端口

nikto -host -port 80,443,8000(检测不到的端口会展示找不到地址,如下)


image.png
三、目标网址采用https连接时,带上-ssl

nikto -host -port -ssl


image.png
四、使用代理

nikto -host -port -ssl -userproxy

五、扫描结果以某种格式输出

Nikto -host -F result.html -o html

六、帮助命令

使用nikto -help能看到使用的命令以及每条命令代表的意思,-H能看到全部的命令

七、生成报告
image.png

工具二:Arachni

该工具是一个包含很多特性、模块化的、高性能的Ruby框架,目的是帮助渗透测试人员和管理者评估现代web应用程序的安全。

下载好文件后解压

bin路径下有arachni_web和arachnid_consle两种打开方式

双击arachni_web这个文件,开启本地server

一、搭建环境

双击arachni_web这个文件,开启本地server


image.png
二、打开网站进行登录

1、在浏览器输入localhost:9292进入网页版,进入网页版之后需要登录账号。

2、账号在文件夹的README文件中,有两个账号都可以用


image.png
三、扫描网站

1、点击上方的scans>+new进入需要输入网址的页面


image.png

2、target url输入框中填入被测网址


image.png

3、点击“Go!”开始扫描
四、生成报告
image.png

工具三、golismero

该工具是一款开源的web扫描器,它不但自带不少的安全测试工具。而且还可导入分析市面流行的扫描工具的结果,比如openvas、wfuzz、sqlmap等,并自动分析。纯python编写,并集成了许多开源的安全工具,可以运行的平台:windows、linux、BSD、OS X。几乎没有依赖性,唯一的要求就是python的版本不低于2.7.

一、搭建环境

下载地址:https://github.com/golismero/golismero

下载好之后找一个合适的地方解压,里面有一个名为golismero.py的文件。后续的启动命令都是通过这个文件来启动

二、通过终端启动扫描
image.png

打开电脑终端,cd到步骤一解压到的文件夹。

1、python golismero.py scan 扫描直接在终端输出扫描结果

2、python golismero.py scan -i nmap_output.xml -o report.html 抓取Nmap结果并生成html报告

3、python golismero.py profiles 显示所有可用配置文件的列表

4、python golismero.py plugins 显示所有可用插件的列表

三、帮助命令

python golismero.py -h 显示所有的可用命令

四、生成报告
image.png

你可能感兴趣的:(web渗透测试小工具使用篇)