web漏洞扫描工具 webvulscan

  • A+
所属分类:网络安全工具

web漏洞扫描工具 webvulscan

工具特性:

抓取工具:抓取网站以识别并显示属于该网站的所有网址。
扫描器:抓取网站并扫描找到的所有漏洞网址。
扫描历史记录:允许用户查看或下载他们执行的先前扫描的PDF报告。
注册:允许用户注册Web应用程序。
登录:允许用户登录到Web应用程序。
选项:允许用户选择他们想要测试的漏洞(全部默认启用)。
PDF生成:动态生成详细的PDF报告。
报告传递: PDF报告作为附件通过电子邮件发送给用户。

漏洞测试种类:

反映的跨站点脚本
存储的跨站点脚本
标准SQL注入
使用SQL注入破坏身份验证
自动完成在密码字段上启用
可能不安全的直接对象引用
目录列表已启用
HTTP横幅披露
SSL证书不可信
未经验证的重定向

它需要以下内容:
一个能够运行PHP Web应用程序(如Apache)的Web服务器。
MySQL的。
PHP。

如何部署WebVulScan
首先,下载WebVulScan,并将包含源代码的文件夹放入Web服务器要在您的域中提供的文件夹中。在Apache中,这是“ htdocs ”文件夹。

然后,使用浏览器请求“ localhost / webvulscan_vx.xx ”,其中“ webvulscan_vx.xx ”是包含源代码的文件夹,您将被带到Web应用程序漏洞扫描器的主页。

现在,将包含在源代码文件夹中的名为“ webvulscan.sql ” 的数据库导入到MySQL数据库中。

注意:扫描程序正在使用的数据库凭证是没有密码的“ root ”用户。
如果你想改变它,可以在connectToDb()函数的“ webvulscan_vx.xx / scanner / functions / databaseFunctions.php ”中进行编辑。传递给mysqli构造函数的第二个和第三个参数是MySQL数据库用户的用户名和密码。例如“ 根 ”和“”。

对于您在connectToDb()函数中使用的任何用户,您必须确保数据库中存在相应的数据库用户,并且他们有足够的权限从/向webvulscan数据库读取/写入。

如果您在Linux上运行此操作,则必须确保应用程序有权写入日志文件夹和报告文件夹。
这可以使用“ chmod ”命令完成。
使用终端,cd(更改目录)到“ crawler ”文件夹并输入“ sudo chmod -R 777 logs / ”。
然后cd到“ scanner ”文件夹并输入“ sudo chmod -R 777 logs / ”。
另外,在扫描仪文件夹中输入“ sudo chmod -R 777 reports / ”。

如果用户要通过电子邮件接收PDF报告,PHP的mail()函数必须能够发送电子邮件。如果您的网络服务器上没有设置电子邮件功能,则此步骤将指导您如何通过Gmail帐户路由电子邮件。这不是基本要求,因为用户可以使用扫描历史记录功能查看和下载PDF报告。
设置电子邮件服务器可能非常复杂且耗时,因此更简单的解决方案就是使用Gmail。Web应用程序可以使用Gmail帐户发送电子邮件。
访问gmail.com并创建一个帐户。然后,该Web应用程序的用户将从该电子邮件地址接收扫描报告。记下您的电子邮件地址和密码。
现在,必须安装并配置具有TLS支持的“ sendmail ” 应用程序,才能通过Gmail帐户路由外发电子邮件。sendmail zip文件可以在这里下载:http : //www.glob.com.au/sendmail/sendmail.zip
一旦安装了sendmail,请打开sendmail.ini文件。您需要将设置更改为以下内容:
smtp_server = smtp.gmail.com
SMTP_PORT = 587
smtp_ssl =汽车
error_logfile = error.log中
auth_username=youremail@gmail.com
AUTH_PASSWORD =你的密码
pop3_server =
pop3_username =
pop3_password =
force_sender = youremail@gmail.com
force_recipient =
主机名=
所有其他设置应默认使用分号注释。
现在用文本编辑器打开文件“ php.ini ”文件并编辑以下内容:
在“[邮件功能]”部分下,除了“ sendmail_path ”和“ mail.add_x_header ” 之外,使用分号使该部分注释掉所有内容。
因此,您可能不得不注释“ SMTP = ... ”和“ smtp_port = ... ”,您应该取消注释“ sendmail_path = ... ”。
设置“ sendmail_path ”等于你sendmail.exe文件的位置(例如“\” C:\ XAMPP \ sendmail的\ sendmail.exe \“-t”),如果尚未设置为。
如果“ mail.add_x_header ”尚未设置为“关”,则将其设置为关闭。
保存php.ini
重新启动Web服务器。
您现在应该可以使用PHP的邮件功能发送电子邮件。

其他PHP设置也需要通过编辑php.ini文件进行配置。
Memory_limit设置为128M,如果您同时运行多个扫描,则可能需要将其更改为更高的值。
您需要启用“ curl ”和“ openssl ”扩展。在扩展部分下,确保“extension = php_curl.dll ”和“ extension = php_openssl.dll ”在那里,并且没有被注释掉。如果他们不在那里,请添加它们。如果他们在那里,并在他们面前用分号注释掉,请取出分号以取消注释。
现在重新启动Web服务器。

扫描仪现在应该可以使用了。以下是如何使用它:
通过选择注册选项卡并输入用户的详细信息,访问扫描仪并注册用户。
通过选择登录选项卡并输入电子邮件地址和密码作为用户登录。
要抓取网站并显示属于该网站的所有网址,请选择抓取工具选项卡,输入要抓取的网址并点击“ 开始抓取 ”。
要扫描网站,请选择扫描仪选项卡,输入要扫描的URL并点击“ 开始扫描 ”。
在开始扫描之前,如果您希望禁用一些漏洞测试,请选择选项链接并取消选中您希望禁用的任何漏洞。所有漏洞测试都默认启用。

项目地址:

  • 服务器购买微信群
  • 阿里云&腾讯云&国外VPS
  • weinxin
  • 服务器购买QQ群
  • 阿里云&腾讯云&国外VPS
  • weinxin
CE安全网

发表评论

您必须登录才能发表评论!