02Web应用漏洞扫描工具介绍

Web扫描工具介绍王朋涛深信服北京安全团队Web应用漏洞扫描器简介IBMAppScanWVSBurpScannerW3AF总结培训提纲Web应用漏洞扫描器简介什么是Web应用漏洞扫描器？专门针对Web应用的漏洞扫描器——Web漏扫；用处：网站管理员在网站上线之前对网站进行安全性自检，提前发现安全漏洞并修复，避免安全隐患。Web应用漏洞扫描器简介常见的Web应用漏洞扫描器：IBMAppScan；WVS；BurpSuite——BurpScanner；W3AF；Nikto;WebInspect;WebScarab;…………Web应用漏洞扫描器简介IBMAppScan简介IBM®SecurityAppScan的®是一款领先的应用安全性测试套件，旨在整个软件开发生命周期中管理漏洞测试。IBMSecurityAppScan自动进行漏洞评估、扫描和检测所有常见的Web应用程序漏洞，包括SQL注入，跨站脚本，缓冲区溢出和Flash/Flex应用程序和Web2.0的漏洞扫描。IBMAppScan操作新建完全扫描IBMAppScan操作提示需要配置扫描IBMAppScan操作配置起始URLIBMAppScan操作扫描结果IBMAppScan操作认证设置IBMAppScan操作测试策略配置IBMAppScan操作根据漏洞严重性分类的测试策略IBMAppScan操作部分中等程度危险的漏洞测试项目IBMAppScan操作最终扫描结果IBMAppScanWVS简介WVS(WebVulnerabilityScanner)是一个自动化的Web应用程序安全测试工具，它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序。适用于任何中小型和大型企业的内联网、外延网和面向客户、雇员、厂商和其它人员的Web网站。WVS操作初始界面WVS操作设置扫描URLWVS操作设置扫描策略WVS操作Target检测WVS操作认证设置WVS操作认证设置WVS操作认证设置WVS操作认证设置WVS操作认证设置WVS操作认证设置WVS操作认证设置WVS操作扫描设置WVS操作正在扫描WVS操作查看漏洞详情WVS操作查看漏洞详情WVSBurpScanner简介BurpSuite是一个Web应用程序集成攻击平台，它包含了一系列Burp工具，这些工具之间有大量接口可以互相通信，这样设计的目的是为了促进和提高整个攻击的效率。平台中所有工具共享同一robust框架，以便统一处理HTTP请求，持久性，认证，上游代理，日志记录，报警和可扩展性。BurpSuite允许攻击者结合手工和自动技术去枚举、分析、攻击Web应用程序。这些不同的Burp工具通过协同工作，有效的分享信息，支持以某种工具中的信息为基础供另一种工具使用的方式发起攻击;BurpScanner

即BurpSuite套装中的漏洞扫描套件。BurpScanner操作代理设置BurpScanner操作代理设置BurpScanner操作BurpProxy会监听Firefox中的所有HTTP请求BurpScanner操作BurpProxy会监听Firefox中的所有HTTP请求BurpScanner操作用BurpSpider爬取网站结构BurpScanner操作启动BurpScannerBurpScanner操作BurpScanner设置BurpScanner操作BurpScanner设置BurpScanner操作扫描队列BurpScanner操作扫描结果BurpScannerW3AF简介W3AF（WebApplicationAttackandAuditFramework）是一个Web应用程序攻击和审计框架。它的目标是创建一个易于使用和扩展、能够发现和利用Web应用程序漏洞的主体框架。W3AF的核心代码和插件完全由Python编写。项目已有超过130个的插件，这些插件可以检测SQL注入、跨站脚本、本地和远程文件包含等常见Web应用漏洞。W3AF有GUI和命令行两种操作模式W3AF操作扫描配置BurpScanner操作认证配置BurpScanner操作HTML