20159320《网络攻防实践》第4周视频学习总结
2016-03-27 00:03
344 查看
OPENVAS使用
1、确定指定IP是否能ping通2、创建扫描目标
3、创建扫描任务(scan management →newtask)
4、开始任务start
5、查看扫描细节
6、查看扫描结果,包含漏洞详细信息,亦可到处PDF文件
7、导出扫描结果报告
8、为快速扫描亦可使用quick start进行扫描
kali漏洞扫描工具
1、web扫描工具golismery:开源,有Python编写,无系统依赖性插件包括:Import Plugin导入插件、testingplugin测试、reportplugin报表、uiplugin界面插件
缺点:结果杂乱、报告不规范
2、Nikto.pl:网页服务器扫描 nikto -h 192.168.0.1
支持多个端口扫描
3、lynis系统信息收集整理工具:对linux操作系统详细配置等信息进行枚举收集,形成报告文件。
4、Unix-privesc-check 模式:standard、detailed
unix-privesc-check standard
5、nmap、zenmap
kali漏洞分析之WEB爬行
1、字典查找、指令:/usr/share/wordlists2、Apache-users用户枚举脚本
apach -users -h 主机地址 -l 字典地址 指定txt文件 -p 端口名 -s ssl支持
3、cutycapt 网站截图 cutycapt --url=http://www.baidu.com -out=baiduping
4、DIRB:强大目录扫描工具
dirb http://172.16.215.143还可指定文件类型扫描
5、dirbuster:kali下图形化目录扫描器,直观的扫描结果
6、VEGA:kali下的WVS
7:webslayer:由WFuzz发展出来的WEB爆破工具
8、header项:refer:……x-Forward-For:……
web漏洞扫描
1、cadaver:用来浏览和修改WEBDAV共享的unix命令行程序,使用就像命令行的FTP程序,适合基本的webDAV调试。cadaver http://172.16.215.143/dav/
2、davtest-url http://172.16.215.143/dav/测试对支持webDAV服务器上传文件。
3、dablaze 针对FLASH远程调用等枚举
4、fimap:文件包含漏洞利用工具
5、Grabber:WEB漏洞应用扫描器,可指定扫描漏洞类型结合爬虫对网站进行安全扫描。
6、Joomla scanner:类似wpscan扫描器,针对cms
7、skipfish:自动化网络安全扫描工具,通过http协议处理,占用较低cpu资源,运行速度快。skipfish -o/tmp/1.report http://url/
8、uniscan WVS:简单易用的web漏洞扫描器
9、w3af:web应用程序攻击和检查框架,包括检查网站爬虫、sql注入,跨站(xss)、本地文件包含、远程文件包含
10、wapiti、与nikto类似,实现内置匹配算法,python 全平台
11、webshag-gui:集成调用框架,调用nmap、uscan、信息收集、爬虫等功能。
12、websploit:开源,用于远程扫描和分析系统漏洞,可容易而快速地发现系统问题并深入分析。
相关文章推荐
- TCP/IP协议三次握手与四次握手流程解析
- 计算机网络协议层
- DELPHI使用IDHTTP显示网络图片
- IP地址、子网掩码、网络号、主机号、网络地址、主机地址以及ip段/数字-如192.168.0.1/24是什么意思?
- httpServlet应用
- Apache httpd.conf配置文件AllowOverride参数详解
- 【Android】ListView加载网络图片(解决图片错位问题)
- 优酷网络架构分析
- Java网络编程(TCP协议-练习-上传文本文件)
- SDWebImage无法加载png图像
- 图解HTTPS协议加密解密全过程
- TCP/IP
- HTTPS握手过程
- 一个简单的例子教你明白XMLHTTPRequest的原理
- linux网络管理命令
- IOS平台ASI框架 和 AFN框架 之Https通讯
- https基本原理
- Http请求特点
- 扯谈网络编程之Tcp SYN flood洪水攻击
- 浅谈Mental Ray渲染引擎并行性机制