iT邦幫忙

2021 iThome 鐵人賽

DAY 21
0
Security

三人要保密,一個人要學好資安系列 第 21

Web應用掃描工具-Arachni小蜘蛛(下)

  • 分享至 

  • xImage
  •  

我們今天使用Default模板來開始測試

輸入要掃描的目標URL並選擇Default模板
也可以在此頁加上其他進階設定
填寫描述及分享給其他User
設定完成後即可啟動Go!

可使用的掃描類型:

  • Direct
    • 用一個程序對目標進行掃描
  • Remote
    • Dispatcher進行分散式掃描
  • Grid
    • 使用多台機器執行分散式掃描,可以再進行負載平衡

其他功能:

  • Repeat/Revision(複掃)
    • 重複完成的掃描以識別已修復或新的問題
    • 可以使用以前修訂版的站點地圖來作為掃描依據
  • Overview
    • 合併多個修訂的結果,以便於審查/管理


執行時遇到的一個小錯誤

開啟vim /arachni-1.5.1-0.5.12/system/environment
在最後面的地方加入
export OPENSSL_CONF="/etc/ssl"

完成後存檔重啟


開啟後我們選擇黃色的按鈕進行rescan
即可設定上次未完的掃描繼續啟動

陸續出現各項弱點結果


後面可以簡單的對漏洞進行驗證
搜尋一個要驗證的弱點
點開結果後可以查看該漏洞的URL位置

尋找id="query"的input

在右上方的欄位中輸入
<script>alert('xss')</script>

送出即可獲得alert結果

看到此結果表漏洞存在
我們也可以在解決修補後再次進行結果確認


上一篇
Web應用掃描工具-Arachni小蜘蛛(中)
下一篇
網路滲透測試工具-Legion
系列文
三人要保密,一個人要學好資安30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言