IronWasp Web应用程序漏洞扫描
2016-07-28 19:16
405 查看
哎呀,web漏洞太多导致服务器老是被攻击,看来有效的测试对程序还是至关重要的!!!
web程序是写的一个小项目:在java上用php的语法,比如$empty,$_get,$_post,$_file,这是非常有意思的,作者也曾经在java上用js,这实在是太帅了!!!(自己感觉不喜勿喷)好了废话不多说了,直接看看这个工具怎么用吧
1.下载
http://ironwasp.org/
2.使用 下载以后解压文件夹 运行 :IronWASP.exe进入界面
3.如果是普通的web网站不需要密码登录,如房产门户,汽车门户网站
则可以直接Console中 填写 URL,然后点击Start Scan 开始扫描--->下一步--->下一步 ----->Done 就会开始扫描所有的web页面的漏洞
4.如果是需要密码登录的网站
则需要在 Tools--->Browser based Crawler进入如下页面
然后 点击 Open Manual Crawler 将用 chrome的方式打开一个页面,在页面里访问你的web工程url,登录以后在你工程中做url的访问l就会呈现在左侧的SiteMap中
然后在在 SiteMap中你访问的站点上 http://localhost:8080/中的 wd_all右键 ---->Scan Branch然后弹出如下窗口 点击 Next Step
针对的攻击类型有:跨站脚本攻击,sql注入攻击,代码注入攻击,命令注入攻击,XPATH注入攻击,LDAP注入攻击 5种方式 算是比较全了啊 虽然后2种作者也没有听过是干啥的哈哈
然后一路 Next step 一直到 Done 开始攻击
那么最后来看看程序的打印结果如下
哈哈,有意思哈,基本上程序的漏洞都会有所显示,对与我们这样的开发者而言,就可以更好的修复程序或者框架上的漏洞啦!!!
web程序是写的一个小项目:在java上用php的语法,比如$empty,$_get,$_post,$_file,这是非常有意思的,作者也曾经在java上用js,这实在是太帅了!!!(自己感觉不喜勿喷)好了废话不多说了,直接看看这个工具怎么用吧
1.下载
http://ironwasp.org/
2.使用 下载以后解压文件夹 运行 :IronWASP.exe进入界面
3.如果是普通的web网站不需要密码登录,如房产门户,汽车门户网站
则可以直接Console中 填写 URL,然后点击Start Scan 开始扫描--->下一步--->下一步 ----->Done 就会开始扫描所有的web页面的漏洞
4.如果是需要密码登录的网站
则需要在 Tools--->Browser based Crawler进入如下页面
然后 点击 Open Manual Crawler 将用 chrome的方式打开一个页面,在页面里访问你的web工程url,登录以后在你工程中做url的访问l就会呈现在左侧的SiteMap中
然后在在 SiteMap中你访问的站点上 http://localhost:8080/中的 wd_all右键 ---->Scan Branch然后弹出如下窗口 点击 Next Step
针对的攻击类型有:跨站脚本攻击,sql注入攻击,代码注入攻击,命令注入攻击,XPATH注入攻击,LDAP注入攻击 5种方式 算是比较全了啊 虽然后2种作者也没有听过是干啥的哈哈
然后一路 Next step 一直到 Done 开始攻击
那么最后来看看程序的打印结果如下
哈哈,有意思哈,基本上程序的漏洞都会有所显示,对与我们这样的开发者而言,就可以更好的修复程序或者框架上的漏洞啦!!!
相关文章推荐
- java对世界各个时区(TimeZone)的通用转换处理方法(转载)
- java-注解annotation
- java-模拟tomcat服务器
- java-用HttpURLConnection发送Http请求.
- java-WEB中的监听器Lisener
- Android IPC进程间通讯机制
- Android Native 绘图方法
- Android java 与 javascript互访(相互调用)的方法例子
- 介绍一款信息管理系统的开源框架---jeecg
- 聚类算法之kmeans算法java版本
- java实现 PageRank算法
- PropertyChangeListener简单理解
- c++11 + SDL2 + ffmpeg +OpenAL + java = Android播放器
- 插入排序
- 冒泡排序
- 堆排序
- 快速排序