1、Web漏洞扫描是在Web信息搜集的基础上,进行更进一步的自动化的安全评估、漏洞挖掘、渗tou测试
2、Web漏洞扫描能让我们进一步挖掘目标服务器潜在的sql注入、Xss跨站脚本攻鸡、CSr跨站请求伪造等漏洞
3、Web漏扫虽然能够帮助我们快速的实现自动化漏洞渗tou,但是并不是全能的,也会出现误报,需要手工结合
4、未经授权对目标服务器/应用进行渗tou测试,本质上就是一种攻鸡行为,若对目标业务造成影响,可能会有法律职责
可以下载一个免费版
功能界面
因为是全英文的,我那微信的翻译功能翻译了一下,以备我自己忘了看不懂,英语好的可以略过。
漏洞扫描最主要的概念:代理、爬虫、扫描、入侵。
重放功能就是做http数据包请求 探测的时候经常运用repeater功能。修改我本地的参数,然后去发给探测目标服务器。不断的修改参数发给服务器,查看返回的数据有什么差别,这样就可以一点点用手工(重点,手工!)的方式修改参数去找某一个漏洞。
decoder:渗tou测试时经常需要做编码转换的sql注入里面的sql探测、文件上传,文件上传的时候需要上传一个文件或者木ma没有办法上传,因为过滤规则把木ma的后缀名过滤掉了。但是可以通过decoder这个解码器绕过
软件安装
kali已经集成了berpsrite的家庭版,如果要完整版的,可以去网上下载此安装包:
右键打开
输入以下命令:
java -jar BurpLoader.jar
基本一路默认安装
这个软件要多给一些运存,使用以下命令给2GB运存
java -jar -Xmx2048M /burpsuitepath/burpsuitejar
Windows环境
要装java环境,用8版本以后的。安装好后直接双击第一个文件即可打开,也是一样的默认安装。第一次启动可能有点卡,稍等片刻。
如果要是卡的话就用这个给内存,大多数教学视频或博文都不如帮助文档来的直接,像我没有英语阅读能力可以翻译器辅助阅读。
