本文介绍如何使用Ratproxy进行手动与自动注入测试,包括在Ubuntu上安装配置Ratproxy的方法,以及如何利用Firefox浏览器配合虚拟机进行网站漏洞扫描的具体步骤。
注入有自动注入和手工注入之分,全自动注入软件例如AWVS,半自动注入软件的好处是你可以先手工注入,然后软件会帮你查漏补缺,帮你尝试注入你没有想到的地方,下面来看看Ratproxy的使用方式。
首先
在Ubuntu上获取ratproxy
现获取root权限
然后命令 apt-get install ratproxy
在获取完成后 通过命令来配置ratproxy 命令如下
RATPROXY
-V保存日志到文件夹
-W日志保存文件名
-D 扫描网站后面加站名
-R 必须虚拟机外部连接它,可以外部连接
配置好后,将虚拟机的地址用Firefox挂上代理
代理设置好后,任意访问一个网页测试
给访问的网页添加例外(注意https协议网站软件无法扫描)
访问成功后回到虚拟机查看test.log日志文件
将test.log文件转移到ratproxy的安装目录 命令: cp test.log /usr/bin
之后定位到/usr/bin目录 cd /usr/bin
将转移到安装目录的test.log转换格式为html文件 命令: ratproxy-report test.log > test.html
之后将test.html转移到home目录(应该也可以不用转移直接打开)
test.html文件
直接双击打开后可以看到漏洞扫描的结果图
菜鸡勿喷,感谢指导。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
