Web扫描工具-Arachni

|

Arachni

  • 官网

  • 支持分布式扫描

  • 支持调度,每隔多久扫描一次

  • 安装后,输入用户名密码登录提示错误,google发现很多人有同样错误,暂时无解。

OWASP_ZAP

  • Zed attack proxy
  • WEB Application继承渗透测试和漏洞挖掘工具
  • 开源免费快平台简单易用
  • 截断代理
  • 主动、被动扫描
  • Fuzzy、暴力破解
  • API
  • 功能
    • netstat -pantu发现zap自动在8080端口打开 代理,通过该代理访问的网页会显示在zap中
    • Mode–Safe、Protected、Standard、ATTACK
    • 升级add-ons
    • ScanPolicy
    • Anti CSRF Tokens
    • https–CA
      • 把ZAP的证书导入到浏览器成信任的证书
      • 在设置的Dynamic SSL Certificates里面
    • Scope/Context/filter
    • Http Sessions
    • 扫描结果可以添加Note/Tag
    • 小绿点:截断。小灯泡:显示隐藏域。

扫描工作流程

  • 设置代理
  • 手动爬网
  • 自动爬网
  • 主动扫描