Acunetix一款商業(yè)的Web漏洞掃描程序,它可以檢查Web應(yīng)用程序中的漏洞,如SQL注入、跨站腳本攻擊、身份驗證頁上的弱口令長度等。它擁有一個操作方便的圖形用戶界面,并且能夠創(chuàng)建專業(yè)級的Web站點安全審核報告。新版本集成了漏洞管理功能來擴(kuò)展企業(yè)全面管理、優(yōu)先級和控制漏洞威脅的能力。
Xray:
Xray是從長亭洞鑒核心引擎中提取出的社區(qū)版漏洞掃描神器,支持主動、被動多種掃描方式,自備盲打平臺、可以靈活定義 POC,功能豐富,調(diào)用簡單,支持Windows /macOS /Linux 多種操作系統(tǒng),可以滿足廣大安全從業(yè)者的自動化 Web 漏洞探測需求。
Xray和Acunetix(AWVS)聯(lián)動
為什么要聯(lián)動?
因為有些網(wǎng)站需要特定數(shù)據(jù)包才能訪問,xray無法自定義數(shù)據(jù)包而AWVS可以。如果測試需要特定數(shù)據(jù)包才能訪問的網(wǎng)站,相當(dāng)于xray就無法使用了,所以需要聯(lián)動AWVS構(gòu)造特定數(shù)據(jù)包進(jìn)行掃描。
聯(lián)動開始:
1.打開awvs——添加目標(biāo)(Add targets)——保存(save)
2.保存目標(biāo)之后會自動跳轉(zhuǎn)到目標(biāo)設(shè)置(target settings)——下滑找到代理服務(wù)(proxy server) 開啟代理,設(shè)置讓awvs掃描的流量經(jīng)過本地8989端口。點擊保存(save)
3.設(shè)置XRay監(jiān)聽8989端口
xray根目錄打開cmd命令行輸入:.xray.exewebscan –listen 127.0.0.1:8989 –html-output xray.html
命令意思:配置代理進(jìn)行被動掃描,即本地8989端口進(jìn)行流量監(jiān)聽,并把流量監(jiān)聽挖掘到的漏洞詳情保存到xray根目錄的xray.html文件內(nèi)
執(zhí)行命令
4.然后來到awvs,點擊掃描(scan)——點擊創(chuàng)建掃描(Create scan)
到這里聯(lián)動就完成了,等待掃描完成后生成漏洞報告即可。
漏洞掃描工具介紹:
Vulmap(2021年停止更新):
Vulmap是一款web漏洞掃描和驗證工具,可對webapps進(jìn)行漏洞掃描,并且具備漏洞利用功能,目前支持的webapps包括activemq,flink,shiro,solr,struts2,tomcat,unomi,drupal,elasticsearch,fastjson,jenkins,nexus,weblogic,jboss,spring,thinkphp
使用:
根目錄啟動命令行
執(zhí)行:pip3 install -r requirements.txt 安裝依賴
執(zhí)行:python3vulmap.py -u 目標(biāo)地址
afrog(目前還在更新):
afrog是一款性能卓越、快速穩(wěn)定、PoC 可定制的漏洞掃描(挖洞)工具,PoC 涉及 CVE、CNVD、默認(rèn)口令、信息泄露、指紋識別、未授權(quán)訪問、任意文件讀取、命令執(zhí)行等多種漏洞類型,幫助網(wǎng)絡(luò)安全從業(yè)者快速驗證并及時修復(fù)漏洞。
使用:
根目錄啟動命令行
輸入:afrog.exe-t 目標(biāo)地址
聯(lián)動掃描-調(diào)用-Goby+Awvs+Xray+Vulmap
Goby:
Goby是一款新的網(wǎng)絡(luò)安全測試工具,由趙武Zwell(Pangolin、JSky、FOFA作者)打造,它能夠針對一個目標(biāo)企業(yè)梳理最全的攻擊面信息,同時能進(jìn)行高效、實戰(zhàn)化漏洞掃描,并快速的從一個驗證入口點,切換到橫向。能通過智能自動化方式,幫助安全入門者熟悉靶場攻防,幫助攻防服務(wù)者、滲透人員更快的拿下目標(biāo)。
聯(lián)動開始:
1.啟動Goby,來到擴(kuò)展程序,下載Awvs+Xray+Vulmap,點擊每個插件都有配置和使用教程
下載完成,來到 設(shè)置——擴(kuò)展設(shè)置
讓你們看看我的配置
vulmap配置:
xary配置:
AWVS配置:
API key生成獲取方式:
開始掃描漏洞:
Goby添加目標(biāo)地址和要探針的端口,點擊開始
Goby成功掃描出漏洞
調(diào)用AWVS掃描:
選擇AWVS插件
查看awvs,成功自動添加了一個目標(biāo)開始掃描
Xray和vulmap調(diào)用也如上一樣選擇插件即可自動調(diào)用開啟掃描。
掃描完成可以在如下圖擴(kuò)展程序處查看各個插件的漏洞檢測報告,valmap的檢測報告需要再次點擊插件查看。
審核編輯:劉清
-
Linux系統(tǒng)
+關(guān)注
關(guān)注
4文章
587瀏覽量
27179
原文標(biāo)題:漏洞發(fā)現(xiàn)-Xray+Awvs聯(lián)動-Goby+Xray+Awvs+Vulmap聯(lián)動
文章出處:【微信號:哆啦安全,微信公眾號:哆啦安全】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。
發(fā)布評論請先 登錄
相關(guān)推薦
評論