【安全入门】漏洞发现爬虫特扫&Burp插件自动化&白盒扫描

  • A+
所属分类:安全文章

【安全入门】漏洞发现爬虫特扫&Burp插件自动化&白盒扫描

网安教育

培养网络安全人才

技术交流、学习咨询



 网络爬虫项目演示测试


crawlergo&rad&burpsuite&awvs爬虫的对比

【安全入门】漏洞发现爬虫特扫&Burp插件自动化&白盒扫描


参考程序员启航的博客:https://blog.csdn.net/aaahtml/article/details/113174227


1.crawlergo

crawlergo是一个使用chrome headless模式进行URL收集的浏览器爬虫。它对整个网页的关键位置与DOM渲染阶段进行HOOK,自动进行表单填充并提交,配合智能的JS事件触发,尽可能的收集网站暴露出的入口。内置URL去重模块,过滤掉了大量伪静态URL,对于大型网站仍保持较快的解析与抓取速度,最后得到高质量的请求结果集合。

安装:需要下载chromium以及linux环境

地址:https://github.com/0Kee-Team/crawlergo


2.rad

rad,一款专为安全扫描而生的浏览器爬虫

运行rad

【安全入门】漏洞发现爬虫特扫&Burp插件自动化&白盒扫描



1rad.exe -t http://192.168.111.131/dvwa/index.php


【安全入门】漏洞发现爬虫特扫&Burp插件自动化&白盒扫描


3.avws

Acunetix一款商业的Web漏洞扫描程序,它可以检查Web应用程序中的漏洞,如SQL注入、跨站脚本攻击、身份验证页上的弱口令长度等。它拥有一个操作方便的图形用户界面,并且能够创建专业级的Web站点安全审核报告。新版本集成了漏洞管理功能来扩展企业全面管理、优先级和控制漏洞威胁的能力。

这里选择爬虫扫描

【安全入门】漏洞发现爬虫特扫&Burp插件自动化&白盒扫描

【安全入门】漏洞发现爬虫特扫&Burp插件自动化&白盒扫描



 AVWS&burp&sqlmap爬虫扫描


1、利用Awvs配置代理联动Burp爬虫

【安全入门】漏洞发现爬虫特扫&Burp插件自动化&白盒扫描


选择爬虫扫描

【安全入门】漏洞发现爬虫特扫&Burp插件自动化&白盒扫描


选择好代理设置

【安全入门】漏洞发现爬虫特扫&Burp插件自动化&白盒扫描

【安全入门】漏洞发现爬虫特扫&Burp插件自动化&白盒扫描


把爬虫的请求保存到文本中

【安全入门】漏洞发现爬虫特扫&Burp插件自动化&白盒扫描

【安全入门】漏洞发现爬虫特扫&Burp插件自动化&白盒扫描

接着使用sqlmap对文本中的请求快速扫描

1python sqlmap.py -l .avws_sqlmap.txt --batch -smart


【安全入门】漏洞发现爬虫特扫&Burp插件自动化&白盒扫描

跑完之后我们去康康结果

【安全入门】漏洞发现爬虫特扫&Burp插件自动化&白盒扫描


发现是存在注入的

【安全入门】漏洞发现爬虫特扫&Burp插件自动化&白盒扫描



 Burp-Suite安装插件扫描&灯塔配合goby


1.Burp-Suite插件项目地址:https://github.com/Mr-xn/BurpSuite-collections

Burp-Suite-collections,BurpSuite 相关收集项目,插件主要是非BApp Store(商店)

【安全入门】漏洞发现爬虫特扫&Burp插件自动化&白盒扫描


武装完Burp-Suite之后,我们就可以使用它进行扫描测试

【安全入门】漏洞发现爬虫特扫&Burp插件自动化&白盒扫描

【安全入门】漏洞发现爬虫特扫&Burp插件自动化&白盒扫描

【安全入门】漏洞发现爬虫特扫&Burp插件自动化&白盒扫描

【安全入门】漏洞发现爬虫特扫&Burp插件自动化&白盒扫描

【安全入门】漏洞发现爬虫特扫&Burp插件自动化&白盒扫描


这里就是Burp-Suite扫描的结果信息


2.灯塔配合goby

【安全入门】漏洞发现爬虫特扫&Burp插件自动化&白盒扫描


通过灯塔来进行资产收集到敏感文件或ip、域名再配合goby进行漏洞扫描

Penetration_Testing_POC,搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,项目地址:https://github.com/Mr-xn/Penetration_Testing_POC

Awesome burp extensions一个非常棒的 Burp 扩展,适合那些想用很棒的插件来为他们的 Burp 实例增添趣味的人,项目地址:https://github.com/snoopysecurity/awesome-burp-extensions


信息收集&源代码进行白盒扫描


fottify 全名叫:Fortify SCA ,是HP的产品 ,是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并给予整理报告。扫描的结果包含详细的安全漏洞信息、安全知识说明、修复意见。

下载详情参考:https://www.shungg.cn/301.html

【安全入门】漏洞发现爬虫特扫&Burp插件自动化&白盒扫描


这里我们拿一个项目进行白盒扫描

【安全入门】漏洞发现爬虫特扫&Burp插件自动化&白盒扫描

【安全入门】漏洞发现爬虫特扫&Burp插件自动化&白盒扫描

【安全入门】漏洞发现爬虫特扫&Burp插件自动化&白盒扫描

【安全入门】漏洞发现爬虫特扫&Burp插件自动化&白盒扫描


扫描出存在sql注入的地方


 rad联动xary进行爬虫扫描


先运行xray执行监听

1.xray.exe webscan --listen 127.0.0.1:7777 --html-output xxx.html


【安全入门】漏洞发现爬虫特扫&Burp插件自动化&白盒扫描


然后执行rad进行爬取

1.rad.exe -t http://testphp.vulnweb.com -http-proxy 127.0.0.1:7777


【安全入门】漏洞发现爬虫特扫&Burp插件自动化&白盒扫描

浏览器配置代理,监听本地7777端口

【安全入门】漏洞发现爬虫特扫&Burp插件自动化&白盒扫描

【安全入门】漏洞发现爬虫特扫&Burp插件自动化&白盒扫描


【安全入门】漏洞发现爬虫特扫&Burp插件自动化&白盒扫描

版权声明:本文为CSDN博主「遗憾zzz」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。

原文链接:https://blog.csdn.net/qq_36241198/article/details/120604274

版权声明:著作权归作者所有。如有侵权请联系删除


开源聚合网安训练营

战疫期间,开源聚合网络安全基础班、实战班线上全面开启,学网络安全技术、升职加薪……有兴趣的可以加入开源聚合网安大家庭,一起学习、一起成长,考证书求职加分、升级加薪,有兴趣的可以咨询客服小姐姐哦!

【安全入门】漏洞发现爬虫特扫&Burp插件自动化&白盒扫描

加QQ(1005989737)找小姐姐私聊哦



精选文章


环境搭建
Python
学员专辑
信息收集
CNVD
安全求职
渗透实战
CVE
高薪揭秘
渗透测试工具
网络安全行业
神秘大礼包
基础教程
我们贴心备至
用户答疑
 QQ在线客服
加入社群
QQ+微信等着你

【安全入门】漏洞发现爬虫特扫&Burp插件自动化&白盒扫描


我就知道你“在看”
【安全入门】漏洞发现爬虫特扫&Burp插件自动化&白盒扫描

原文始发于微信公众号(开源聚合网络空间安全研究院):【安全入门】漏洞发现爬虫特扫&Burp插件自动化&白盒扫描

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: