首页 > 渗透测试 > w3af、N-stalker等Web渗透测试工具使用介绍
2013
03-25

w3af、N-stalker等Web渗透测试工具使用介绍

本人将介绍几款比较不错的Web渗透测试工具,Powerfuzzer、N-Stalker和w3af.通过本人你将学会这几款工具的简单使用,以及xss、sqli等常见漏洞的利用等,适合新手朋友。

Powerfuzzer

官方网站:http://www.powerfuzzer.com
Powerfuzzer是一款开源的比较简单的工具,适合初学者使用。

图一是Powerfuzzer v1试用版的界面,大概功能介绍:

w3af、N-stalker等Web渗透测试工具使用介绍 - 第1张  | 阿德马Web安全

Target URL:要扫描的目标网站地址;

Exclude URL/s or dir:可以定义不希望进行扫描测试的链接地址或者目录名称;

Credentials:有一些页面扫描测试的时候可能需要帐号和密码,可以在这个部分进行填写帐号和密码;

Proxy:可以使用代理,达到匿名扫描的目的;

Timeout:可以设置扫描请求超时的时间;

Verbosity:可以选择扫描测试的深度和等级;

该工具可以检测以下类型的漏洞:

注入漏洞

CRLF注入

扫描报告如下所示,大概格式是漏洞类型 链接 参数等。

该工具的优点:

使用操作简单;非常强大的快速检测;不需要任何经验。

该工具的缺点:

2009年之后没有更新过;报告不是很详细。

 

N-Stalker

官方网站:http://www.nstalker.com/

使用以及功能介绍:

这款软件比较专业,有很强大的功能,是一款渗透测试的神器,下面详细介绍其中的一些功能:

w3af、N-stalker等Web渗透测试工具使用介绍 - 第2张  | 阿德马Web安全

策略编辑器:

点击 Policy Editor(策略编辑器)来设置扫描的一些规则等,点开Policy Editor会看到左侧的树形结构,以及对应的右侧的详细描述,都是一些具体的规则等。

策略编辑器选项:

策略编辑器中的规则描述是非常详细的,主要有漏洞的名称、漏洞危害等级、漏洞类型、目标服务器、修复解决方案等.

扫描配置:

扫描开始之前需要先配置一下,主要有以下几个方面:

w3af、N-stalker等Web渗透测试工具使用介绍 - 第3张  | 阿德马Web安全

一:Choose url&Policy:设置扫描目标和扫描规则

Enter Web Application URL:填写要扫描的网站URL地址

Choose Scan Policy:选择扫描规则,有针对XSS的,也有OWASP扫描规则等。

Load Scan Session:加载之前保存的扫描会话

Load Spider Date:加载蜘蛛爬行数据,该功能免费版的不支持。

二:详细设置

可以设置身份认证信息(有些时候需要登录之后扫描测试、要扫描的脚本语言类型、设置跳过的Web应用程序的显示状态(比如404,500)等。

三:设置的详细信息

设置以上信息之后,点击”next”就会看到设置的详细信息,以及域名对应的IP地址等信息。

四:当扫描结束点击”close session“就会看到对话框询问你保存和是放弃扫描结果。选择保存之后,点击”Report manager’就可以看到扫描结果,还可以生成PDF格式的扫描结果。

w3af

官方网站:http://sourceforge.net/projects/w3af/

w3af、N-stalker等Web渗透测试工具使用介绍 - 第4张  | 阿德马Web安全

点击顶部的”Profiles(配置)“来定义扫描规则等,可以创建删除或者修改配置文件.

选中一个扫描规则之后,会看到该扫描规则对应的插件工具等。

在目标栏中,输入您的Web应用程序的URL,然后单击开始以开始扫描过程。

扫描开始之后,可以点击”log(日志)“查看该会话扫描日志和结果等。

 

以上三款软件可能会在渗透测试中用到,可以下载测试一下。

原文由阿德马翻译自国外网站,转载请注明本站出处,谢谢。错误之处,请多多指正。

 

最后编辑:
作者:admin
这个作者貌似有点懒,什么都没有留下。

w3af、N-stalker等Web渗透测试工具使用介绍》有 1 条评论

  1. 1 说:

    欢迎加入 黑客榜中榜 http://www.cn-hack.net

留下一个回复

你的email不会被公开。