Web 扫描神器:WhatWeb 保姆级教程(附链接)

简介: Web 扫描神器:WhatWeb 保姆级教程(附链接)

一、介绍

WhatWeb 是一款用于识别网站技术栈和特征的开源Web扫描工具。它可以自动分析网站的响应并识别出使用的Web框架、CMS、服务器、JavaScript库等技术组件。WhatWeb的目标是通过分析网站的内容,提供有关目标的技术信息,这对于安全测试、漏洞评估和信息搜集等任务非常有用。


以下是WhatWeb的一些特点和功能:

  1. 自动识别技术栈: WhatWeb能够自动检测网站使用的各种技术,包括Web服务器、Web应用框架、CMS、JavaScript库等。
  2. 插件系统: WhatWeb具有可扩展的插件系统,允许用户自定义检测规则和添加新的检测模块。
  3. 多种输出格式: WhatWeb支持多种输出格式,包括文本、JSON和XML等,使其易于集成到其他工具和流程中。
  4. 灵活性: 用户可以通过命令行参数或配置文件来控制WhatWeb的行为,例如设置扫描深度、使用代理、指定用户代理等。
  5. 分析页面内容: 除了识别技术栈,WhatWeb还能分析页面内容,识别关键字、文件路径、目录结构等信息。

二、安装 WhatWeb

Kail Linux 默认安装了 WhatWeb,所以只需安装 Kail Linux 即可使用。没有的可以参考下篇文章来安装 Kail Linux


如何在 VM 虚拟机中安装 Kail Linux 2023.4 操作系统保姆级教程(附链接)

https://eclecticism.blog.csdn.net/article/details/135864762


三、使用 WhatWeb

3.1 普通扫描

whatweb 域名/文件(文件中存放多个域名)

可以看到输出有些混乱,可以加 -v 参数来解决

3.2 详细扫描

whatweb -v 域名

这么看是不是就清楚多了

3.3 扫描强度

WhatWeb 有 4 种扫描级别,通过数字 1~4 选择,默认为1:

  1. stealthy 每个目标发送一次http请求,并且会跟随重定向
  2. unused 不可用(从2011年开始,此参数就是在开发状态)
  3. aggressive 每个目标发送少量的http请求,这些请求时根据参数为1时结果确定的
  4. heavy 每个目标会发送大量的http请求,会去尝试每一个插件

whatweb -v -a 等级 域名

3.4 内网扫描

whatweb --no-errors -t 255 IP/子网掩码

3.5 导出结果

--log-brief=FILE            简单的记录,每个网站只记录一条返回信息
--log-verbose=FILE            详细输出
--log-xml=FILE            返回xml格式的日志
--log-json=FILE            以json格式记录日志
--log-json-verbose=FILE            记录详细的json日志
--log-magictree=FILE            xml的树形结构
--log-object=FILE            ruby对象格式
--log-mongo-database            mongo数据库格式

whatweb -v 域名 --log-xml=文件名

3.6 查看插件列表

whatweb -l

3.7 查看指定插件信息

whatweb --info-plugins="插件名"

3.8 编写插件

需要学会 Ruby 语言,具体编写可参考 Github 上的教程


相关实践学习
基于函数计算快速搭建Hexo博客系统
本场景介绍如何使用阿里云函数计算服务命令行工具快速搭建一个Hexo博客。
相关文章
|
13天前
|
JSON 前端开发 JavaScript
前端使用lottie-web,使用AE导出的JSON动画贴心教程
前端使用lottie-web,使用AE导出的JSON动画贴心教程
|
12天前
|
JavaScript Java 测试技术
《手把手教你》系列技巧篇(四十六)-java+ selenium自动化测试-web页面定位toast-下篇(详解教程)
【5月更文挑战第10天】本文介绍了使用Java和Selenium进行Web自动化测试的实践,以安居客网站为例。最后,提到了在浏览器开发者工具中调试和观察页面元素的方法。
28 2
|
13天前
|
Web App开发 JavaScript 测试技术
《手把手教你》系列技巧篇(四十五)-java+ selenium自动化测试-web页面定位toast-上篇(详解教程)
【5月更文挑战第9天】本文介绍了在Appium中处理App自动化测试中遇到的Toast元素定位的方法。Toast在Web UI测试中也常见,通常作为轻量级反馈短暂显示。文章提供了两种定位Toast元素的技巧.
20 0
|
14天前
|
SQL 安全 数据处理
Web 测试神器:HackBar 保姆级教程
Web 测试神器:HackBar 保姆级教程
|
14天前
|
存储 前端开发 Linux
Cockpit - 基于Web的Linux管理工具的安装和使用教程
Cockpit - 基于Web的Linux管理工具的安装和使用教程
51 0
|
14天前
|
API
2024常用Web支付开发讲解教程
本教程为web支付开发,讲解了最常用的两钟支付:支付宝支付和微信支付,服务器配置和API对接,学完本课程可以学会微信支付、和支付宝支付开发。
20 2
2024常用Web支付开发讲解教程
|
14天前
|
架构师 前端开发
web全栈架构师第16期教程
互联网时代已进入后半场,行业环境发生了显著变化。互联网人,尤其是技术人员,如何在加速更迭的技术浪潮中持续充电,提升自身价值,是当下必须面对的挑战。课程涉及了现下前端实际开发时所需要的各块内容,并深度对标 阿里 P6+级别所具备的知识储备及开发技能,奠定源码阅读基础和全栈开发能力。
20 3
web全栈架构师第16期教程
|
12天前
|
数据安全/隐私保护
那些酷炫的网页你也可以做到——第六篇,小型公司web开发
那些酷炫的网页你也可以做到——第六篇,小型公司web开发
|
2天前
|
开发框架 安全 前端开发
使用Ruby on Rails进行快速Web开发
【5月更文挑战第27天】Ruby on Rails是一款基于Ruby的高效Web开发框架,以其快速开发、简洁优雅和强大的社区支持著称。遵循“约定优于配置”,Rails简化了开发流程,通过MVC架构保持代码清晰。安装Ruby和Rails后,可使用命令行工具创建项目、定义模型、控制器和视图,配置路由,并运行测试。借助Gem扩展功能,优化性能和确保安全性,Rails是快速构建高质量Web应用的理想选择。
|
3天前
|
前端开发 开发者 UED
CSS能力是Web开发中不可或缺的技能
【5月更文挑战第26天】CSS能力是Web开发中不可或缺的技能
12 3