热搜词
发表于 2021-4-29 18:16:50 | 显示全部楼层 |阅读模式

网络安全等级保护测评漏洞扫描工具


关注我:不定时更新网络安全等保测评知识!
渗透测试收集信息完成后,就要根据所收集的信息,扫描目标站点可能存在的漏洞了,包括我们之前提到过的如:SQL注入漏洞、跨站脚本漏洞、文件上传漏洞、文件包含漏洞及命令执行漏洞等,通过这些已知的漏洞,来寻找目标站点的突破口,在这之前我们可能就已经接触过许多漏洞靶场,练习过各种漏洞的攻击方法,其实这种练习是不合理的,原因就是缺少了前期的信息收集和漏洞扫描,明确告诉了你站点的所有信息和所存在的漏洞,我们只需要根据具体漏洞,对症下药就可以了,其实对于一次真正意义上的渗透测试来说,这些信息都是需要我们自己去收集的,漏洞也是要我们自己发掘的,今天我们就讲一讲几款比较好用的漏洞扫描工具。

一、AWVS
Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞,它的官方网站是:https://www.acunetix.com,我刚才看了一眼没有找到试用版下载链接,之前是有的,可以免费试用14天,当然你也可以去网上搜索破解版进行下载安装,有经济实力的朋友可以考虑购买正版软件,下图就是AWVS的主界面,里边还保存着我扫描过的两个站点,发现了4个高危漏洞,4个中危漏洞和20个低危漏洞。

网络安全等级保护测评漏洞扫描工具


二、Nessus
Nessus 是目前全世界最多人使用的系统漏洞扫描与分析软件。总共有超过75,000个机构使用Nessus 作为扫描该机构电脑系统的软件,其官方网站为:https://zh-cn.tenable.com,它有免费试用版和付费版,当然也可以到网上搜索下载,有经济实力的朋友可以考虑购买正版软件,下图就是Nessus的主界面,同样保存着我之前扫描过的两个站点。

网络安全等级保护测评漏洞扫描工具


三、w3af
w3af是一个Web应用程序攻击和检查框架,该项目已超过130个插件,其中包括检查网站爬虫、SQL注入(SQL Injection)、跨站(XSS)、本地文件包含(LFI)、远程文件包含(RFI)等,该项目的目标是要建立一个框架,以寻找和开发Web应用安全漏洞,所以很容易使用和扩展,w3af常用的是在Linux系统下,并且已经集成到了kaili中了,能被kaili选中的,都是非常好的工具,下图是windows版的,网上不好找,感兴趣的朋友可以私信我。

工具下载链接:http://w3af.org/download

网络安全等级保护测评漏洞扫描工具


四、ZAP
OWASP Zed攻击代理(ZAP)是世界上最受欢迎的免费安全审计工具之一,由数百名国际志愿者积极维护,它可以帮助您在开发和测试应用程序时自动查找Web应用程序中的安全漏洞,它的主要功能有:本地代理、主动扫描、被动扫描、Fuzzy和暴力破解等,以下就是ZAP的主界面,在攻击地址栏里输入目标站点域名或IP点击攻击就可以了。

网络安全等级保护测评漏洞扫描工具


五、御剑
御剑后台扫描珍藏版是T00LS大牛的作品,方便查找用户后台登陆地址,附带很强大的字典,字典也是可以自己修改的,使用方法也非常简单,只需要在“域名框”输入你要扫描的域名即可,用户可根据自身电脑的配置来设置调节扫描线程,集合DIR扫描、ASP、ASPX、PHP、JSP、MDB数据库,包含所有网站脚本路径扫描,默认探测200 (也就是扫描的网站真实存在的路径文件),我在之前信息收集工具介绍中也提到过御剑,其实是想介绍御剑指纹识别系统的,现在已经更改,在域名栏输入目标站点域名点击扫描就可以了,如果前期信息收集全面,可以选择站点后台语言,

网络安全等级保护测评漏洞扫描工具


六、北极熊
北极熊是一款综合性的扫描工具,前期的信息收集我们也提到过,那里我们说它是一款爬虫工具有些片面了,也许是我经常用它来爬虫,其实它也集成了网站检测和漏洞扫描功能,只不过它得一步一步的使用,首先对目标站点进行爬虫,再将爬虫过的结果导入网站检测当中扫描,也可以根据前期信息收集情况,选择对应的选项,提高扫描效率,北极熊扫描器也可以通过网上搜索下载

网络安全等级保护测评漏洞扫描工具


关注我:不定时更新网络安全等保测评知识!

全部评论0
回复
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|管理员之家 ( 苏ICP备2023053177号-2 )

GMT+8, 2024-11-23 22:06 , Processed in 0.155122 second(s), 22 queries .

Powered by Discuz! X3.5

Cpoyright © 2001-2024 Discuz! Team