其他分享
首页 > 其他分享> > web扫描器的初步使用及bp暴力破解

web扫描器的初步使用及bp暴力破解

作者:互联网

  1. web扫描器AWVS最新版的下载安装使用,扫描器的好坏:爬虫的能力,漏洞库,误报率
  2. awvs(14.6) 需要翻译,不太准确,没办法实现图形化界面显示漏洞,更新速度比appscan快,漏洞库丰富,组件、语言可以扫描出来
  3. appscan (10.0)中文界面好操作,扫描速度慢,可以展示界面,框架扫描不出来
  4. 国内与国外扫描器:国内的扫描器破解面临起诉,国外破解随便用,国产扫描器对国内现有程序比较友好
  5. 扫描器Netspark的安装使用
  6. xray扫描器的安装使用(必须掌握,手工测试漏洞,半自动扫描)
  7. 文档手册(https://docs.xray.cool/#/
  8. burp suite的深度使用(扫描) 暴力破解(4种模式)——>测试器
  9. burp suite扫描自己网站
  10. burp suite 常用的功能有哪些:
    • 仪表盘、漏洞扫描、代理、测试器(狙击手、破城槌、音叉、集束炸弹)
    • 重发器、定序器、编码器、项目选项、用户选项等
  11. 实战:
  12. 使用burp suite暴力破解pikachu漏洞测试平台之基于表单的暴力破解:
    • 打开pikachu漏洞测试平台,开启burp 代理
    • 修改bp变量为admin和password,并把请求发送到测试器

     

  13. 配置有效载荷,字典选择简单清单,如何把top100复制到里边
  14. 查看结果,勾选长度,查看哪个长度不一样
  15. 可以得出,结果为admin 123456

 

标签:web,暴力破解,扫描器,扫描,漏洞,bp,burp,suite
来源: https://blog.csdn.net/qq_41755666/article/details/123613244