搜索
Web扫描工具介绍王朋涛深信服北京安全团队1.Web应用漏洞扫描器简介2.IBMAppScan3.WVS4.BurpScanner5.W3AF6.总结培训提纲Web应用漏洞扫描器简介什么是Web应用漏洞扫描器?•专门针对Web应用的漏洞扫描器——Web漏扫;•用处:网站管理员在网站上线之前对网站进行安全性自检,提前发现安全漏洞并修复,避免安全隐患。Web应用漏洞扫描器简介常见的Web应用漏洞扫描器:•IBMAppScan;•WVS;•BurpSuite——BurpScanner;•W3AF;•Nikto;•WebInspect;•WebScarab;•…………Web应用漏洞扫描器简介IBMAppScan简介•IBM®SecurityAppScan的®是一款领先的应用安全性测试套件,旨在整个软件开发生命周期中管理漏洞测试。IBMSecurityAppScan自动进行漏洞评估、扫描和检测所有常见的Web应用程序漏洞,包括SQL注入,跨站脚本,缓冲区溢出和Flash/Flex应用程序和Web2.0的漏洞扫描。IBMAppScan操作•新建完全扫描IBMAppScan操作•提示需要配置扫描IBMAppScan操作•配置起始URLIBMAppScan操作•扫描结果IBMAppScan操作•认证设置IBMAppScan操作•测试策略配置IBMAppScan操作•根据漏洞严重性分类的测试策略IBMAppScan操作•部分中等程度危险的漏洞测试项目IBMAppScan操作•最终扫描结果IBMAppScanWVS简介•WVS(WebVulnerabilityScanner)是一个自动化的Web应用程序安全测试工具,它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序。适用于任何中小型和大型企业的内联网、外延网和面向客户、雇员、厂商和其它人员的Web网站。WVS操作•初始界面WVS操作•设置扫描URLWVS操作•设置扫描策略WVS操作•Target检测WVS操作•认证设置WVS操作•认证设置WVS操作•认证设置WVS操作•认证设置WVS操作•认证设置WVS操作•认证设置WVS操作•认证设置WVS操作•扫描设置WVS操作•正在扫描WVS操作•查看漏洞详情WVS操作•查看漏洞详情WVSBurpScanner简介•BurpSuite是一个Web应用程序集成攻击平台,它包含了一系列Burp工具,这些工具之间有大量接口可以互相通信,这样设计的目的是为了促进和提高整个攻击的效率。平台中所有工具共享同一robust框架,以便统一处理HTTP请求,持久性,认证,上游代理,日志记录,报警和可扩展性。BurpSuite允许攻击者结合手工和自动技术去枚举、分析、攻击Web应用程序。这些不同的Burp工具通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用的方式发起攻击;•BurpScanner即BurpSuite套装中的漏洞扫描套件。BurpScanner操作•代理设置BurpScanner操作•代理设置BurpScanner操作•BurpProxy会监听Firefox中的所有HTTP请求BurpScanner操作•BurpProxy会监听Firefox中的所有HTTP请求BurpScanner操作•用BurpSpider爬取网站结构BurpScanner操作•启动BurpScannerBurpScanner操作•BurpScanner设置BurpScanner操作•BurpScanner设置BurpScanner操作•扫描队列BurpScanner操作•扫描结果BurpScannerW3AF简介•W3AF(WebApplicationAttackandAuditFramework)是一个Web应用程序攻击和审计框架。它的目标是创建一个易于使用和扩展、能够发现和利用Web应用程序漏洞的主体框架。W3AF的核心代码和插件完全由Python编写。项目已有超过130个的插件,这些插件可以检测SQL注入、跨站脚本、本地和远程文件包含等常见Web应用漏洞。•W3AF有GUI和命令行两种操作模式W3AF操作•扫描配置BurpScanner操作•认证配置BurpScanner操作•HTML报表输出配置BurpScanner操作•扫描状态BurpScanner操作•扫描结果BurpScanner总结•概述Web应用漏洞扫描器的作用与原理•以4个常用Web漏扫为例介绍操作过程