awvs扫描器的使用
来源:互联网 发布:搜索引擎自然排名优化 编辑:程序博客网 时间:2024/04/25 17:41
Acunetix Web Vulnarability Scanner V10.5 详细中文手册
http://www.freebuf.com/sectool/100713.html
以上呢,就是一个很棒的我看不懂的完整使用说明
打开这个软件之后呢,先是点左上的New Scan新的扫描
然后在弹出来的框框第一栏输入要扫的地址
然后一直next,最后一个finish,就酱
然后它就自己在工作了,就喝杯茶等着
结果出来之后就是漏洞分析
红色和黄色是需要重点关注和点开一个一个查看详情和复现的
第一个Apache2-s2-020漏洞
第二个 跨站脚本漏洞 也就是xss
第三个 存在漏洞的javascript版本
第四个 apache server-status 服务器某个状态是开启的 导致敏感信息泄露 如内网ip
第五个 程序 错误信息
第六个 错误的页面
第七个 html表单没有csrf保护
第八个 用户凭证没有被清除
第一个Apache2-s2-020漏洞
点开 看到右边漏洞详细说明
在百度找个工具酱紫,怎么找到的我也不知道啊
http://www.shack2.org/article/1374154000.html
利用失败了,但是我们看到可以读文件
这里显示能读server.xml,我们尝试去读其他的文件,了解了一下apache tomcat的文件结构,发现了以下说明:
我的疑问是:tomcat\conf\文件夹中的server.xml、context.xml、web.xml,tomcat\conf\Catalina..\目录下的xml文档(上下文),以及tomcat\webapp\ROOT\WEB-INF\web.xml之间有何联系?如何协调工作的呢?是否涉及到应用的部署方式的问题?(我用的是7.0.39版本,win7 64位环境)
改请求去读其他文件,未成功,证明复现失败
这段,很显然我还是没看懂 ̄へ ̄
对上面那张图的解释:
java里有个框架叫struts2,st2框架是跑在Apache Tomcat 容器里的,Apache Tomcat 容器默认的配置文件结构和组成大致是这样的。
第二个 跨站脚本漏洞 也就是xss
这个参数存在xss
这个请求是一个post请求
然后用firefox hackbar去复现这个请求
首先用了"><script>alert(1)</script>
,查看源代码发现需要闭合</script>
标签,于是改代码"></script><script>alert(1)</script>
成功弹窗
第三个 存在漏洞的javascript版本
他说javascript库存在漏洞,我们找到了以下资料,目标使用的1.7.2版本的jquery。1.7.2的jquery存在一个xss漏洞
第四个 apache server-status 服务器某个状态是开启的 导致敏感信息泄露 如内网ip
http://zikao.hneao.cn//server-status 打开之后发现内网ip和服务上的敏感文件
Apache Server Status for zikao.hneao.cn (via 172.18.102.12)
第五个 程序 错误信息
第六个 错误的页面
第七个 html表单没有csrf保护
第八个 用户凭证没有被清除
第五个和第六个 因为都是程序的错误页面,没有暴露敏感信息,可以忽略
第七个 html表单没有csrf保护
这个就是一般再表单提交的地方,就是比如登陆 注册的地方都有表单,本次没有细看啊(下次细看以下,主要内容其实就是扫描器认为这个页面没有csrf_token保护,可以任意伪造提交)
第八个 用户凭证没有被清除
(下次说)
啊~好多东西啊~都晕了~
- awvs扫描器的使用
- awvs扫描器扫描web漏洞
- Nmap扫描器的使用
- nmap扫描器的使用
- nmap扫描器的使用
- netsparker扫描器的使用
- AWVS使用教程
- 安全测试工具acunetix web vulnerability scanner(AWVS)的使用
- AWVS 提供的接口
- AWVS
- [linux安全] nmap扫描器的使用
- 使用Bash 编写的 TCP 端口扫描器
- 漏洞扫描器Nessus的安装和使用
- C# 红外条码扫描器的另类使用
- 扫描器的使用--Java基础019
- 扫描器Scanner、Set、Map的使用
- 图解S扫描器使用
- USB口的红外条形码扫描器的另类使用
- JAVA中的变量
- AS编译c/c++生成so文件
- Markdown小技巧:代码格式、缩进和字体大小
- Java-NIO(九):管道 (Pipe)
- 数据结构直接插入排序
- awvs扫描器的使用
- Android研究_Gralloc_5 Grallo分配和释放Buffer
- 排序
- Cornerstone 3 for Mac 3.0.1 激活版
- 恋爱专业十级考试
- 笔记:centos 7 tar -zxvf解压不了mac os上传输的文件问题
- MATLAB Camera Calibrator——相机标定
- Maven中-DskipTests和-Dmaven.test.skip=true的区别
- 12月19日云栖精选夜读:开源PaaS工具CloudFoundry落地阿里云