web扫描器的初步使用及bp暴力破解
作者:互联网
- web扫描器AWVS最新版的下载安装使用,扫描器的好坏:爬虫的能力,漏洞库,误报率
- awvs(14.6) 需要翻译,不太准确,没办法实现图形化界面显示漏洞,更新速度比appscan快,漏洞库丰富,组件、语言可以扫描出来
- appscan (10.0)中文界面好操作,扫描速度慢,可以展示界面,框架扫描不出来
- 国内与国外扫描器:国内的扫描器破解面临起诉,国外破解随便用,国产扫描器对国内现有程序比较友好
- 扫描器Netspark的安装使用
- xray扫描器的安装使用(必须掌握,手工测试漏洞,半自动扫描)
- 文档手册(https://docs.xray.cool/#/)
- burp suite的深度使用(扫描) 暴力破解(4种模式)——>测试器
- burp suite扫描自己网站
- burp suite 常用的功能有哪些:
- 仪表盘、漏洞扫描、代理、测试器(狙击手、破城槌、音叉、集束炸弹)
- 重发器、定序器、编码器、项目选项、用户选项等
- 实战:
- 使用burp suite暴力破解pikachu漏洞测试平台之基于表单的暴力破解:
- 打开pikachu漏洞测试平台,开启burp 代理
-
修改bp变量为admin和password,并把请求发送到测试器
- 配置有效载荷,字典选择简单清单,如何把top100复制到里边
- 查看结果,勾选长度,查看哪个长度不一样
- 可以得出,结果为admin 123456
标签:web,暴力破解,扫描器,扫描,漏洞,bp,burp,suite 来源: https://blog.csdn.net/qq_41755666/article/details/123613244