IronWasp Web应用程序漏洞扫描

哎呀，web漏洞太多导致服务器老是被攻击，看来有效的测试对程序还是至关重要的！！！

web程序是写的一个小项目：在java上用php的语法，比如$empty,$_get,$_post,$_file,这是非常有意思的，作者也曾经在java上用js，这实在是太帅了！！！（自己感觉不喜勿喷）好了废话不多说了，直接看看这个工具怎么用吧

1.下载

http://ironwasp.org/

2.使用 下载以后解压文件夹 运行 ：IronWASP.exe进入界面

3.如果是普通的web网站不需要密码登录，如房产门户，汽车门户网站

则可以直接Console中 填写 URL，然后点击Start Scan 开始扫描--->下一步--->下一步 ----->Done 就会开始扫描所有的web页面的漏洞

4.如果是需要密码登录的网站

则需要在 Tools--->Browser based Crawler进入如下页面

然后 点击 Open Manual Crawler 将用 chrome的方式打开一个页面,在页面里访问你的web工程url，登录以后在你工程中做url的访问l就会呈现在左侧的SiteMap中

然后在在 SiteMap中你访问的站点上 http://localhost:8080/中的 wd_all右键 ---->Scan Branch然后弹出如下窗口 点击 Next Step

针对的攻击类型有：跨站脚本攻击，sql注入攻击，代码注入攻击，命令注入攻击，XPATH注入攻击，LDAP注入攻击 5种方式 算是比较全了啊 虽然后2种作者也没有听过是干啥的哈哈

然后一路 Next step  一直到 Done 开始攻击

那么最后来看看程序的打印结果如下

哈哈，有意思哈，基本上程序的漏洞都会有所显示，对与我们这样的开发者而言，就可以更好的修复程序或者框架上的漏洞啦！！！