安基网 首页 安全 渗透测试 查看内容

黑客“御用”扫描神器W3AF

2019-11-23 10:51| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 核心模块负责进程的调度和插件的使用, 插件部分则负责查找并攻击 Web安全漏洞。插件部分根据功能的 不同, 又分为8类模块, 包括: 发现模块(discovery)、审计模块(audit)、搜索模块(grep)、攻击模块(attack)、输出 ...

黑客"御用"扫描神器W3AF

核心模块负责进程的调度和插件的使用, 插件部分则负责查找并攻击 Web安全漏洞。

插件部分根据功能的 不同, 又分为8类模块, 包括: 发现模块(discovery)、审计模块

(audit)、搜索模块(grep)、攻击模块(attack)、输出模块(output)、修改模块(mangle),入侵模块(evasion)、破解模块(bruteforce)

每一类模块都有自己独特的功能, 有些类别的模块在一次漏洞 扫描过程中是不可或缺 的, 首先是 发现类模块, 该类模块负责查找HTTP信息, 并探测服务器、数据库、Web应用防火墙等信息, 例如 halberd、hmap、afd、fmgetprint等信息, 在扫描过程中需要进行配

置。 在发现类模块中, 最重要的插件是 webSpider, 它基于爬虫技术爬取网站的每个链接和表单, 这是后面进行漏洞探测不可或缺的信息。

今天我们演示W3AF开源工具的使用方法。W3AF有着两种工作模式:命令行与用户界面。

今天所用的是kali实验环境。

首先我们安装w3af

从git仓库下载w3af

输入git clone https://github.com/andresriancho/w3af.git

ls查看当前目录,发现w3af,进入,ls当前文件

执行命令./w3af_gui

会提示需要安装的依赖,并在/tmp下面生成执行命令./w3af_dependency_install.sh

运行他给出的脚本

这样我们w3af的环境就搭配好了

然后我们进入命令行

./w3af_console

除了攻击插件之外,所有插件都可以使用plugins这个配置菜单进行配置。

假设要启用xss和sqli插件,需要用到以下命令:

Audit xss,sqli

Audit

Audit desc xss

配置菜单可以使用view列出配置参数和值说明也可以使用set进行修改,如修改True为false:

保存配置:

下面我们开始扫描:

配置命令如下:

设置输出报告:

设置目标,开始扫描——target,start

w3af>>> target

w3af/config:target>>> set target http://ip/

w3af/config:target>>> back

w3af>>> start

这样我们就可以直接得到报告结果了

那么今天的文章就当这里

想学习更多的技术文章请关注vx公众号:安界网



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6750947402758226445/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部