使用w3af扫描网站漏洞
W3af是Web Application Audit和Attack Framework的简写。它是开源的基于Python的Web漏洞扫描工具。
w3af有GUI版本也有命令行版本,功能都一样。本帖分别介绍怎么使用这两个不同版本扫描网站漏洞。
w3af GUI版本启动W3af:
# w3af_gui
在Profiles窗口中选择full_audit。就是配置使用哪些插件。
在plugins窗口中,打开crawl,勾选其中的web_spider,并勾选only_forward选项。
告诉W3af生成html格式的结果,在output窗口中勾选html_file。
在Target输入框中输入目标地址,点击Start开始扫描:
扫描完成之后,切换到Results窗口查看扫描到的漏洞,或查看~/resule.html文件:
SQL注入攻击参考:
使用sqlmap执行SQL注入攻击w3af命令行版本w3af GUI版本并不稳定,我在执行上面扫描时卡死了两次。我建议使用命令行版本。
w3af的命令行版本和GUI版本功能完全一样,上面扫描用命令行:
# w3af_console>>> profiles>>> use full_audit>>> back>>> plugins>>> output config html_file>>> set output_file /root/result.html>>> save>>> back>>> crawl config web_spider>>> set only_forward True>>> save>>> back>>> back>>> target>>> set target http://your_target.com>>> save>>> back>>> start
- 上一篇:Metasploit命令大全
- 下一篇:演示DNS欺骗攻击
相关文章
图文推荐
- 文章
- 推荐
- 热门新闻