簡介

當你拿到昨天那個測試網站不知道要怎麽打嗎？或者你自己嘗試過後敲了一些東西以後不知道的是不是漏洞的話，自動弱掃工具可以開一張完美的作弊清單給你，當然這確實是一個偷吃步的方法，但是爲了我們之後的學習，先來準備一份參考答案也是十分合理的對吧~

工具名字

Skipfish 是一個主動的 Web 應用程式安全偵察工具。 它透過執行遞迴爬行和字典探測來為目標網站準備互動式網站，生成的網頁會有許多安全檢查的輸出並對其進行註釋，這個工具產生的最終報告也會成為專業 Web 應用程式安全評估的基礎

指令

Skipfish -o /home/kali/Desktop/reports http://testphp.vulnweb.com/

以上指令是對昨天提到的測試網站進行掃描，然後把掃描結果產生的檔案放在 /home/kali/Desktop/reports 路徑下，那至於我們要怎麽讀它產的報告呢？

在終端機打開上面路徑的檔案你會發現裡面有一個 index.html 檔，正常是沒有辦法直接用 ./index.html 來執行

所以我們要把預設的 Firefox 瀏覽器打開，在上面的網址欄輸入：

file:///home/home/kali/Desktop/reports/index.html

然後就可以打開啦~~

那下面的分項點開就是漏洞的報告啦，可以先玩看看，之後再教要怎麽利用這個網站來驗證漏洞