web漏洞扫描(大部分都是国外的,国内对于商业安全管理严格,不允许破解版的存在)
一、扫描前的准备
1、网络的部署情况(防火墙,能不能ping通,主机是否在内网,是否做了路由映射)
2、时间和方式(销售接完活,会与甲方洽谈,甲方先对数据备份)
3、定时扫描策略(扫描其中待ddos的去掉,线程数调低,线程越高,服务器压力越大)
4、防火墙是否开启(扫描器的ip加入白名单)
5、企业原有的安全策略(没有防止锁死,可以暴力破解)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
二、扫描工具
1、web扫描工具:通过分析HTTP/HTTPS的请求和响应来发现安全问题和架构缺陷
a)、AWVS(国内国外评价最高)
!!!安装步骤&注意事项:
AWVS安装
1、安装前一定要把本机的杀毒软关掉,尤其是windows自带的杀毒软件和防火墙记得关掉
2、选定awvs主程序右击以管理员运行(很多人都是win10家庭版,普通用户登录的系统,不是administrator帐号登录)后面会造成安装失败
3、awvs帐号和密码自己设定,但一定要记住,这个帐号是登录awvs的帐号,如果忘记要删除重新安装,另外密码一定是数字+字母+特殊符号
4、破解版awvs不要勾选allow remote access to acunetix ,目前破解版破解不完善,勾选上了后期会运行出一些问题
5、安装完成之后一定要关闭登录页面
6、管理员身份运行cmd,输入taskkill /im Activation.exe/f&&taskkill /im wvsc.exe /f
7、打开cmd的时候一定要以管理员身份运行,不然后面会报错,命令操作提示无权限
8、把awvs破解补丁放在安装目录,以管理员身份运行,跟据提示填写注册信息(有些win7版本安装破解补丁的时候,补丁的名字不能带有中文)
9、访问awvs https://localhost:3443/#/login/ 记住awvs的默认端口是3443 输入帐号和密码登录
10、输入cacls "C:\ProgramData\Acunetix\shared\license." /t /p everyone:r
11、登录awvs上去之后,如果提示没有激活,建议重装安装awvs ,卸载文件名是uninx000.exe,卸载完之后,重新安装的时候一定要注意(注册信息不要跟上一次一样,切记)
12、下载Google Chrome浏览器可以翻译成为中文
13、快速扫描很容易把网站扫死
14、一般企业不采用登录扫描,因为扫描过程 中会写入很多垃圾数据到数据库里面(所以登录扫描一般提前跟用户商量,用户同意之后你才能登录扫描)
!!!使用:
1、业务重要性一般选择正常,除非特别紧急,才选高危
2、网站登录之后的“尝试自动登录到站点”是登录后台
3、选择扫描类型、报告
b)、Appscan(是由IBM开发,只针对web探测)
!!!安装&破解:
1、需要:.net4.5环境(建议安装物理机)
2、配置许可(破解不了是因为,文件路径不能有中文&添加appstand.txt时,需要使用administrator)
3、安装appscan的时候记得关闭杀毒软件和防火墙
4、物理机管理员登录,如果不是管理员,请在cmd下面输入net user administrator
123456 /active:yes
5、如果双击appscan安装的时候提示要安装.net,这个时候关闭appscan安装.net ,win10默
认安装过.net所以不需要安装,直接可以安装appscan
6、找到appsan安装路径,把破解补丁放在安装目录,提示替换直接替换
7、如果打开appscan出现.net4.7 直接到微软官网去下载
https://dotnet.microsoft.com/download/dotnet-framework/thank-you/net472-web-
installer
8、导入许可证的时候一定要把AppScanStandard.txt放在英文目录下面同时要放在当前用户
下才行正常激活
9、帮助=》许可证=》打开Appscan License Manager=》许可证配置=》节点锁定许可证文件
(添加)=》输入安装路径刚才添加的AppScanStandard.txt文件
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
三、系统扫描:只要针对IP的扫描
a)、nmap(端口扫描,扫多少主机在线,开放端口,及该端口的应用&应用版本,ip,os版本,防火墙)根据操作系统的不同又分为图形化&命令行
图形化(相对不稳定,windows下zenmap的软件)
1、在post/hosts下可以看到当前开启的端口
2、该软件点击其他选项再切回Nmap Output,软件内白屏(软件bug)
命令行(Linux下)
1、主机探测(ping,或者发送报文)
nmap -sn 192.168.0.1-100 只进行主机发现,不进行端口扫描(速度快)
-PE/PA/PU/PY
2、端口扫描(默认扫1000个常用tcp端口)
open:开放的
close:关闭的
filtered:端口被防火墙IDS/IPS屏蔽,无法确定其状态。
unfiltered:端口没有被屏蔽,但是否开放需要进一步确定。
open|filtered:端口是开放的或被屏蔽。
closed|filtered :端口是关闭的或被屏蔽。
-sS(tcp)
-sU(udp)
--top-ports 300(扫常用的300个,不填写300,默认1000个)
3、版本探测(端口对应的应用版本)
nmap -sV 192.168.0.1
4、OS探测
nmap -O 192.168.0.1
5、漏洞扫描(库比较小)
b)、天镜(是系统扫描器,免费试用1、2月)
主要针对系统,web扫描(web扫描需要插加密狗,一般不用)
安装(一路下一步):
本地IP:自己的ip=》关闭
重启(会自动填一个天镜的用户,无须理会)
升级:天镜脆弱性扫描与管理系统
浏览器填写虚拟机ip/sysLogin.admin(默认只能本地访问,默认账号密码在安装路径下)
修改密码,登录后可以查看漏洞库(新建任务=》策略管理)
安装更新flash,Chrome默认关闭flash,需要设置打开
解压升级包压缩文件,系统管理=》升级管理=》离线升级=》选择文件包(只支持usb文件格式)=》导入xxxxxxx217.usb到xxxxxx244.usb,之后就可以自动升级(每次升级完之后刷新浏览器)
使用:
任务管理=》漏洞扫描任务=》新建任务
目标填写范围(不清楚可以点边上问号)
报告一般选择html格式
一般选择常规全部,策略管理=》新增、更改扫描范围
执行
扫描完之后可以在已完成选项中查看,也可以直接生成报告
!!!安装在虚拟机里,到期更改时间,要升级漏洞库,需要将虚拟机快照还原
!!!现在等保的时候会设置锁死
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
四、综合扫描
尖刀(快速扫描)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
五、关于国内外各版本Web扫描器的对比
衡量一个扫描器组重要的两点是:爬取数据的能力,其次是漏洞平台。
【国外】
1、awvs
优点:速度快,准确率高,漏洞库全面强于appscan,查看响应回包,多重漏洞的验证
缺点:不能批量化扫描(可以使用批处理脚本+命令行实现)
2、appscan
优点:速度一般,准确率最高,内置浏览器有xss直接报强于awvs,查看响应回包,全中文报告功能完全强于awvs
3、HP WebInspect(安装占磁盘,扫描速度慢,运行内存4GB↑)
4、Nexpose(kali中的msf,漏洞验证直接连接漏洞库)
!!!结论:爬行能力来说awvs是比较强的,综合性能来说:awvs强于appscan
【国内】
安恒(漏洞库单针对国内来说比较完善,漏洞验证不支持批量)
知道创宇
绿盟(强于安恒&知道创宇,报告方面在国内比较完善,扫描器:极光,抗DDoS)
启明星辰(web扫描器用的人比较少)
!!!结论:国内来说,扫描的漏洞库与爬虫,综合评分较高的是绿盟