您的位置:首页 > 游戏 > 游戏 > 【网络安全学习】漏洞扫描:-03- Nikito与Wapiti漏洞扫描的使用

【网络安全学习】漏洞扫描:-03- Nikito与Wapiti漏洞扫描的使用

2024/12/23 0:45:03 来源:https://blog.csdn.net/oZuoGeQian/article/details/139856439  浏览:    关键词:【网络安全学习】漏洞扫描:-03- Nikito与Wapiti漏洞扫描的使用

1️⃣ Nikto漏洞扫描

Nikto是一个开源的Web扫描评估程序,它可以对目标Web服务器进行快速而全面的检查,以发现各种潜在的安全问题和漏洞。

🅰️ 如何使用 ❓

nikto -Display 1234ep -h [域名或IP地址] -o nikto.html
# -h参数:指定URL或IP
# -Display:控制输出的信息
# 1234ep分别表示:显示重定向、显示Cookie、显示所有200/OK的响应、显示所有HTTP错误以及显示漏洞扫描的进度

开始扫描

扫描结束

🅱️ 查看nikto.html

扫描的结果输出到nikto这个html网页文件中,方便查看

nikto.html

使用nikto插件

如何查看nikto拥有哪些插件

nikto -list-plugins

查看nikto的插件

使用插件进行扫描

nikto -Display 1234ep -h [域名或IP地址] -Plugins [插件名称]
# 默认情况,Plugins不指定插件就会使用所有插件进行扫描
# 举例
nikto -Display 1234ep -h baidu.com -Plugins robots

带插件扫描

2️⃣ Wapiti漏洞扫描

Wapiti是一个开源的轻量级Web应用漏洞扫描工具,它可以对Web应用进行黑盒测试,寻找可以注入数据的脚本和表单,并利用各种攻击载荷检测漏洞。

🅰️ 如何使用 ❓

wapiti -u [域名或IP地址] --color
# -u参数:指定域名或IP,--color参数:开启彩色输出。

Wapiti会自动爬取目标网站的所有页面,并针对每个页面运行不同的攻击模块。

扫描的时间取决于目标网站的大小以及复杂程度。

使用wapiti开始扫描

🅱️ 查看漏洞报告

扫描完成后,Wapiti会生成一个HTML格式的漏洞报告,保存路径如下:

/root/.wapiti/generated_report/

报告路径

报告如下所示:

wapiti漏洞报告

🍒 扫描登录后的网站

如果想要扫描登录后的网站,需要设置Cookie来进行扫描,Wapiti需要读取JSON格式的cookie文件。

获取cookie文件:
wapiti-getcookie -u [域名或IP地址] -c wapiti_cookie.txt
# wapiti-getcookie:用来获取cookie
# -c:cookie文件存放位置及文件名

获取cookie文件

执行指定cookie的扫描
wapiti -u http://192.168.187.131/DVWA/ --cookie wapiti_cookie.txt

加载cookie进行扫描

☘️ 小结

Nikto以及Wapiti扫描工具的基本使用,因为涉及到漏洞以及渗透的操作,所以这次扫描基本基于自建的靶机进行操作。

🆘 请不要使用以上技术损害他人利益,这些均为技术研究,请遵守相关的法律法规,谢谢! 💥

版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com