安全参透之旅第3章 Skipfish工具使用

2024-02-07 18:38

本文主要是介绍安全参透之旅第3章 Skipfish工具使用,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!



--Skipfish工具


是一款Web应用安全侦查工具。skipfish会利用递归爬虫和基于字典的探针生成一副交互式网站地图。最终生成的地图会在通过安全检查后输出。


--选择 -o是输出路径的参数,-S是指定数据字典的只读状态(还有其他参数使用请查看系统中的man或 “-h”帮助文档)


root@kali:~/Desktop/dictionaries# skipfish -o /root/Desktop/Skipfishoutput -S '/usr/share/skipfish/dictionaries/complete.wl' http://www.thesecurityblogger.com


--选择continue继续执行


skipfish web application scanner - version 2.10b
Welcome to skipfish. Here are some useful tips:


1) To abort the scan at any time, press Ctrl-C. A partial report will be written
   to the specified location. To view a list of currently scanned URLs, you can
   press space at any time during the scan.


2) Watch the number requests per second shown on the main screen. If this figure
   drops below 100-200, the scan will likely take a very long time.


3) The scanner does not auto-limit the scope of the scan; on complex sites, you
   may need to specify locations to exclude, or limit brute-force steps.


4) There are several new releases of the scanner every month. If you run into
   trouble, check for a newer version first, let the author know next.


More info: http://code.google.com/p/skipfish/wiki/KnownIssues


NOTE: The scanner is currently configured for directory brute-force attacks,
and will make about 241435 requests per every fuzzable location. If this is
not what you wanted, stop now and consult the documentation.                                                        


Press any key to continue (or wait 60 seconds)...        
skipfish version 2.10b by lcamtuf@google.com




--开始web安全侦查信息。
  - www.thesecurityblogger.com -


Scan statistics:


      Scan time : 0:02:24.490
  HTTP requests : 476 (4.4/s), 366 kB in, 120 kB out (3.4 kB/s)  
    Compression : 267 kB in, 980 kB out (57.2% gain)    
    HTTP faults : 74 net errors, 0 proto errors, 0 retried, 0 drops
 TCP handshakes : 467 total (3.5 req/conn)  
     TCP faults : 0 failures, 74 timeouts, 0 purged
 External links : 54 skipped
   Reqs pending : 1179        


Database statistics:


         Pivots : 369 total, 1 done (0.27%)    
    In progress : 367 pending, 1 init, 0 attacks, 0 dict    
  Missing nodes : 0 spotted
     Node types : 1 serv, 235 dir, 39 file, 0 pinfo, 48 unkn, 46 par, 0 val
   Issues found : 6 info, 1 warn, 1 low, 5 medium, 0 high impact
      Dict size : 2412 words (197 new), 110 extensions, 256 candidates
     Signatures : 77 total


--选择Ctrl+C 来结束扫描,结束输出文件放在/root/Desktop/Skipfishoutput/


        
[!] Scan aborted by user, bailing out!
[+] Copying static resources...
[+] Sorting and annotating crawl nodes: 369
[+] Looking for duplicate entries: 369
[+] Counting unique nodes: 369
[+] Saving pivot data for third-party tools...
[+] Writing scan description...
[+] Writing crawl tree: 369
[+] Generating summary views...
[+] Report saved to '/root/Desktop/Skipfishoutput/index.html' [0xa83556b0].

[+] This was a great day for science!


Medium risk - data compromise External content embedded on a page (higher risk) (5)
中等风险-数据妥协 (高风险) 的网页中嵌入的外部内容 (5)
Low risk or low specificity HTML form with no apparent XSRF protection (1)
低风险或低特异性与没有明显的 XSRF 保护 (1) 的 HTML 表单
Internal warning Resource fetch failed (1)
内部警告资源读取失败 (1)
Informational note Unknown form field (can't autocomplete) (1)
信息说明未知的表单字段 (不能自动完成) (1)

这篇关于安全参透之旅第3章 Skipfish工具使用的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/688594

相关文章

Conda与Python venv虚拟环境的区别与使用方法详解

《Conda与Pythonvenv虚拟环境的区别与使用方法详解》随着Python社区的成长,虚拟环境的概念和技术也在不断发展,:本文主要介绍Conda与Pythonvenv虚拟环境的区别与使用... 目录前言一、Conda 与 python venv 的核心区别1. Conda 的特点2. Python v

Spring Boot中WebSocket常用使用方法详解

《SpringBoot中WebSocket常用使用方法详解》本文从WebSocket的基础概念出发,详细介绍了SpringBoot集成WebSocket的步骤,并重点讲解了常用的使用方法,包括简单消... 目录一、WebSocket基础概念1.1 什么是WebSocket1.2 WebSocket与HTTP

C#中Guid类使用小结

《C#中Guid类使用小结》本文主要介绍了C#中Guid类用于生成和操作128位的唯一标识符,用于数据库主键及分布式系统,支持通过NewGuid、Parse等方法生成,感兴趣的可以了解一下... 目录前言一、什么是 Guid二、生成 Guid1. 使用 Guid.NewGuid() 方法2. 从字符串创建

Python使用python-can实现合并BLF文件

《Python使用python-can实现合并BLF文件》python-can库是Python生态中专注于CAN总线通信与数据处理的强大工具,本文将使用python-can为BLF文件合并提供高效灵活... 目录一、python-can 库:CAN 数据处理的利器二、BLF 文件合并核心代码解析1. 基础合

Python使用OpenCV实现获取视频时长的小工具

《Python使用OpenCV实现获取视频时长的小工具》在处理视频数据时,获取视频的时长是一项常见且基础的需求,本文将详细介绍如何使用Python和OpenCV获取视频时长,并对每一行代码进行深入解析... 目录一、代码实现二、代码解析1. 导入 OpenCV 库2. 定义获取视频时长的函数3. 打开视频文

Spring IoC 容器的使用详解(最新整理)

《SpringIoC容器的使用详解(最新整理)》文章介绍了Spring框架中的应用分层思想与IoC容器原理,通过分层解耦业务逻辑、数据访问等模块,IoC容器利用@Component注解管理Bean... 目录1. 应用分层2. IoC 的介绍3. IoC 容器的使用3.1. bean 的存储3.2. 方法注

Python内置函数之classmethod函数使用详解

《Python内置函数之classmethod函数使用详解》:本文主要介绍Python内置函数之classmethod函数使用方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地... 目录1. 类方法定义与基本语法2. 类方法 vs 实例方法 vs 静态方法3. 核心特性与用法(1编程客

Linux中压缩、网络传输与系统监控工具的使用完整指南

《Linux中压缩、网络传输与系统监控工具的使用完整指南》在Linux系统管理中,压缩与传输工具是数据备份和远程协作的桥梁,而系统监控工具则是保障服务器稳定运行的眼睛,下面小编就来和大家详细介绍一下它... 目录引言一、压缩与解压:数据存储与传输的优化核心1. zip/unzip:通用压缩格式的便捷操作2.

Java 线程安全与 volatile与单例模式问题及解决方案

《Java线程安全与volatile与单例模式问题及解决方案》文章主要讲解线程安全问题的五个成因(调度随机、变量修改、非原子操作、内存可见性、指令重排序)及解决方案,强调使用volatile关键字... 目录什么是线程安全线程安全问题的产生与解决方案线程的调度是随机的多个线程对同一个变量进行修改线程的修改操

使用Python实现可恢复式多线程下载器

《使用Python实现可恢复式多线程下载器》在数字时代,大文件下载已成为日常操作,本文将手把手教你用Python打造专业级下载器,实现断点续传,多线程加速,速度限制等功能,感兴趣的小伙伴可以了解下... 目录一、智能续传:从崩溃边缘抢救进度二、多线程加速:榨干网络带宽三、速度控制:做网络的好邻居四、终端交互