iT邦幫忙

2021 iThome 鐵人賽

DAY 23
0
Security

三人要保密,一個人要學好資安系列 第 23

Web應用測試工具-Skipfish

Skipfish 是一個主動的Web應用程序安全測試工具
透過執行遞歸爬網和基於字典的探測

  • 易於使用:支援多種框架和混合技術
  • 具有自動學習功能、動態詞表創建和表單自動完成功能
  • 高質量、低誤報、差異化安全檢查,能夠發現細微弱點

skipfish [ options ... ] -W wordlist -o output_dir start_url

skipfish -S /usr/share/skipfish/dictionaries/medium.wl -o <輸出名稱> <測試標的位置>

利用skipfish的字典檔
/usr/share/skipfish/dictionaries/medium.wl

-o dir 將輸出寫入指定目錄


預計本次將會送出154141個請求

任意鍵跳出畫面後會持續開始進行掃描

實際掃描完成後結果如下:

結果index.html儲存於一開始-o的位置

可選擇以文件類型總覽或弱點總覽的方式查看

點開可以看到各個問題的詳細資訊,包含網址、 HTTP 請求與回應。


有些弱點下方會有文字備註說明可以參考


上一篇
網路滲透測試工具-Legion
下一篇
Web伺服器掃描工具-Nikto
系列文
三人要保密,一個人要學好資安30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言