Kali linux 渗透测试——web扫描工具 skipfish

最新推荐文章于 2025-10-09 17:49:30 发布
原创 最新推荐文章于 2025-10-09 17:49:30 发布 · 1.7k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kali #skipfish #web扫描 #渗透测试

本文介绍skipfish,一款高效的Web安全侦察工具,用于生成互动站点地图及安全评估报告。文章涵盖其特点、操作指令及如何扫描DVWA网站,强调其高速、易用及尖端安全逻辑。

Kali linux 渗透测试——web扫描工具 skipfish

1.简介

Skipfish是一款主动的Web应用程序安全侦察工具。它通过执行递归爬取和基于字典的探测来为目标站点准备交互式站点地图,最终的地图然后用来自许多活动(但希望是不中断的)安全检查的输出来注释,该工具生成的最终报告旨在作为专业Web应用程序安全评估的基础。
优点
1.高速:纯C代码,高度优化的HTTP处理,最小的CPU占用空间 - 轻松实现响应目标的每秒2000个请求
2.易于使用:启发式支持各种古怪的Web框架和混合技术站点,具有自动学习功能,动态词汇表创建和表单自动完成功能
3.尖端的安全逻辑:高质量,低误报率,差分安全检查,能够发现一系列细微的缺陷,包括盲注入矢量

2.实操

1.简单指令如下

 skipfish -o test http://192.168.1.101 #-o指定存放,目标192.168.1.101
 skipfish -o test @url.txt #指定目标IP列表文件
 skipfish -o test -S complet.wl -W abc.wl http://1.1.1.1 #字典

一些比较有用的指令
-I:只检查包含’string’的 URL
-X:不检查包含’string’的URL,例如:logout
-K:不对指定参数进行 Fuzz 测试
-D:跨站点爬另外一个域
-l:每秒最大请求数
-m:每IP最大并发连接数
–config:指定配置文件

2.扫描目标 DVWA 网站
skipfish -I /dvwa/ -o skipfish_test4 http://192.168.10.136/dvwa/
在这里插入图片描述
也可以增加身份认证信息扫描:
skipfish -A user:pass -o test http://192.168.10.136/dvwa/
kipfish -C “name=val” -o http://192.168.10.136/dvwa/
`
例如

skipfish -I /dvwa/ -A admin:password -o skipfish_test5  http://192.168.10.136/dvwa/

3.开始扫描:
在这里插入图片描述
扫描详细信息:
在这里插入图片描述

4.扫描结果存放在 -o 后面文件的index.html 界面中
在这里插入图片描述

Kali linux 学习笔记(四十一)Web渗透——扫描工具之w3af 2020.3.18
闵行小鱼塘
03-18 1711
扫描工具之w3af
Kali Linux 下实战 Nmap(网络安全扫描器)
02-08
网络安全技术,在 Kali Linux 下实战 Nmap(网络安全扫描器)
一文你进入黑客的世界:Kali Linux如何使用Metasploit渗透测试工具生成病毒木马?
最新发布
wholeliubei的博客
10-09 1151
本文介绍了使用Metasploit框架进行网络安全测试的方法,重点演示了针对Windows系统的"永恒之蓝"漏洞攻击流程。文章首先说明了获取IP地址后通过端口扫描发现漏洞服务的重要性,接着详细讲解了Metasploit的基本功能和使用步骤,括模块选择、参数配置和攻击执行等关键环节。通过实验展示了如何利用该漏洞获取目标系统权限,并介绍了meterpreter后渗透工具的基本命令。最后强调本文内容仅用于合法安全研究,严禁用于非法用途。
kali linux中使用SQLMap完成一次对不安全web网站数据库的扫描
xiaojiakun的博客
12-10 1602
SQLMap扫描不安全web网站的流程 首先收集到目标的网址 此处我不做展示 打开linux 上的终端输入 sqlmap -u "url" 对目标网址进行扫描 发现目标存在漏洞(其id是可注入的) 接着我们输入sqlmap -u "url" --dbs 来查询目标的数据库 我查询到了三个 接着我们来看一些我们所浏览的页面(url)在哪个数据库中 输入sqlmap -u "url" ...
Kali Linux渗透测试 082 扫描工具-webscarab
kevinhanser
03-09 2102
本文记录 Kali Linux 2018.1 学习使用和渗透测试的详细过程,教程为安全牛课堂里的《Kali Linux 渗透测试》课程 设置代理 操作演示 编码 设置身份认证 截断代理
深入解析Kali Linux中的安全扫描工具及其数据分析
weixin_35756892的博客
07-28 851
在网络安全领域,Kali Linux是名副其实的瑞士军刀。其不仅集成了众多的渗透测试工具,而且为信息收集、漏洞检测、Web应用评估和网络攻击模拟提供了全套解决方案。扫描工具作为这一生态中的关键组件,它能帮助安全专家迅速识别目标系统和网络的潜在风险,从而为安全加固和风险缓解提供策略支持。本章将概述Kali Linux中常用的扫描工具,以及它们在安全评估和渗透测试中的重要性。
kali】33 WEB渗透——扫描工具Skipfish
(∪.∪ )...zzz的博客
11-30 2317
这里写自定义目录标题Skipfish1. Skipfish 简介2. Skipfish 基本操作默认扫描使用的字典指定字典 (-S)将目标网站特有的特征漏洞代码存到文件 (-W)3. 身份认证4. 提交用户名密码表单 Skipfish 1. Skipfish 简介 Skipfish是一款主动的Web应用程序安全侦察工具。它通过执行递归爬取和基于字典的探测来为目标站点准备交互式站点地图。最终的地图然后用来自许多活动(但希望是不中断的)安全检查的输出来注释。该工具生成的最终报告旨在作为专业Web应用程序安全评估
Kali linux 学习笔记(四十)Web渗透——扫描工具skipfish 2020.3.17
闵行小鱼塘
03-17 1308
扫描工具skipfish
kali】31 WEB渗透——HTTP协议、扫描工具Nikto
(∪.∪ )...zzz的博客
11-30 4801
这里写自定义目录标题一、HTTP协议二、实验环境三、扫描工具HTTrack 爬取整站Nikto1.安装并更新2. 列出插件3. 基本扫描4. Nikto-interactive(交互方式)5.配置文件 设置使用 cookie 自动登录扫描6. -evasionvega代理扫描 一、HTTP协议 明文 无内建的机密性安全机制 嗅探或代理截断可查看全部明文信息 https只能提高传输层安全 无状态 每一次客户端和服务器端的通信都是独立的过程 WEB应用需要跟踪客户端会话(多步通信) 不使用c
Kali-WEB渗透-skipfish使用方法
lvwuwei的博客
05-03 1203
Kali——WEB渗透 学习web渗透过程中的心得体会以及知识点的整理,方便我自己查找,也希望可以和大家一起交流。 —— 扫描Skipfish—— skipfish:是一款由谷歌开发的实验性的主动WEB安全评估工具,使用C语言编写,体量小但是功能齐全。特点是:递归爬站,基于字典的探测,速度较快(多路单线程,启发式自动内容探测),误报相对较低。 2.使用 (1).格式:skipfish [opti...
用于黑客渗透测试的 21 个最佳 Kali Linux 工具
wuli1024的博客
12-30 2308
实际上 Kali Linux 捆绑了很多工具
Kali-skipfish工具使用实验-Web应用安全扫描2.0整理版(含DVWA)
qq_73680923的博客
04-25 2181
skipfish web应用安全扫描
Kali Linux渗透测试——WEB渗透(一)
Captain_RB的博客
04-18 9067
Kali Linux渗透测试——WEB渗透 笔记内容参考安全牛课堂苑房弘老师的Kali Linux渗透测试教程 文章目录Kali Linux渗透测试——WEB渗透一、WEB攻击面 一、WEB攻击面 WEB渗透具有类型多、覆盖面广的特点,其攻击面主要涵盖: Network OS Web Server App Server Web Application Database Brower 图1...
精通 Kali Linux Web 渗透测试(一)
龙哥盟
07-28 1686
由于这是一本关于精通Kali Linux 以进行 Web 应用程序渗透测试的书,也许会让人惊讶,我们从架构、安全元素等基础主题开始。我希望涵盖这些主题将帮助我们区别于通常进行渗透测试但提供最小价值的脚本小子。任何人都可以启动 Kali Linux 或其他发行版并开始黑客攻击,但没有这个基础,我们的测试可能会不完整或不准确。我们的有利就业取决于实际帮助客户推动他们的网络达到(商定的)极限,并帮助他们发现他们的弱点。同样,我们还应该向他们展示他们做得对。黑山信息安全公司的所有者和分析师约翰·斯特兰德喜欢说。
精通 Kali Linux Web 渗透测试(二)
龙哥盟
07-28 1026
尽管一些攻击受到了很多关注和荣耀,但推动社会对网络的依赖的信任关系至关重要。对这些信任机制的攻击非常令人担忧,因为它们经常让用户和应用程序开发人员对妥协毫不知情。本书涵盖的许多其他威胁以及 OWASP 十大威胁中所代表的威胁是网站应用程序所有者可以控制或有权利纠正的。然而,基于加密或 PKI 的攻击涉及到其他领域的方面,比如证书颁发机构的完整性,网络对 ARP 注入的容忍度,以及应用程序自身域之外的局域网的完整性。
kali工具详细说明----------Web应用程序
墨痕诉清风的博客
12-03 586
Web Applications(Web 应用程序) 工具名称 工具说明 命令行/界面 开源 /付费 编写语言 平台支持 源码链接 备注 apache-users 枚举系统上apache的用户名,支持远程方式 命令行 不开源 未知 kaili 安装地址(git clone) git://git.kali....
Kali Linux Web 渗透测试秘籍(一)
龙哥盟
07-15 3113
在第一章中,我们会涉及如何准备我们的 Kali 以便能够遵循这本书中的秘籍,并使用虚拟机建立有存在漏洞的 Web 应用的实验室。在每个渗透测试中,无论对于网络还是 Web 应用,都有一套流程。其中需要完成一些步骤,来增加我们发现和利用每个影响我们目标的可能的漏洞的机会。例如:侦查枚举利用维持访问清理踪迹在 Web 测试场景中,侦查是一个层面,其中测试者必须识别网络、防火墙和入侵检测系统中所有可能组件。它们也会收集关于公司、网络和雇员的最大信息。
Kali Linux Web 渗透测试秘籍(二)
龙哥盟
07-15 922
这章开始我们会开始涉及渗透测试的的利用层面。和漏洞评估的主要不同是,漏洞评估中测试者识别漏洞(多数时间使用自动化扫描器)和提出如何减轻它们的建议。而渗透测试中测试者作为恶意攻击者并尝试利用检测到的漏洞,并得到最后的结果:整个系统的沦陷,内部网络访问,敏感数据泄露,以及其它。同时,要当心不要影响系统的可用性或者为真正的攻击者留下后门。之前的章节中,我们已经涉及了如何检测 Web 应用中的一些漏洞。这一章中我们打算了解如何利用这些漏洞并使用它们来提取信息和获得应用及系统受限部分的访问权。
Kali渗透测试:通过Web应用程序实现远程控制
Bruce_xiaowei的博客
05-12 2347
Kali渗透测试:通过Web应用程序实现远程控制 ​ 我们所接触的PHP、JSP这样的语言主要是用来开发Web应用程序的,但其实他们的功能十分强大,也可以实现远程控制的功能。我们经常听说的“网页木马”指的就是用PHP、JSP等Web开发语言完成的。这种“网页木马”的特点就是无须考虑被渗透目标的操作系统的类型,只需要考虑Web应用程序的类型,例如攻击目标是一个PHP语言编写的网站, 那么就需要使用PHP语言编写的木马。 ​ 目前有很多工具都提供了自动生成木马的功能, 例如国内十分流行的“中国菜刀” “中国蚁剑
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Bulldozer++

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值