春风十里不如你 —— Taozi - 扫描 https://xiongan.host/index.php/tag/%E6%89%AB%E6%8F%8F/ zh-CN Tue, 05 Sep 2023 20:50:00 +0800 Tue, 05 Sep 2023 20:50:00 +0800 【安全】漏洞扫描web实例 https://xiongan.host/index.php/archives/219/ https://xiongan.host/index.php/archives/219/ Tue, 05 Sep 2023 20:50:00 +0800 admin 漏洞扫描实例

搭建环境

搭建一个测试的WNMP环境,创建一个首页

69390111311

安装Nessus漏洞扫描软件

69390188986

运行Nessus Web Client,输入用户名和密码,点击continue,将看到如图2-11所示界面,需要到Nessus网站https://www.tenable.com/how-to-buy页面注册,然后在注册邮箱中找到注册码,输入注册码,才能继续使用

69390201720

注册好之后登录

69390234775

登录进去后界面如图:

69390343114

在设置扫描前可以先添加一个Policies(策略),选择Advanced Scan(自定义),在Settings中填写名称,在Plugins中选择检测项(可全选),之后Save。点New Scan,添加一个新的扫描

选择第一个高级扫描(Advanced Scan),出现图2-13所示界面。Name填写名字,Description填写描述信息,Targets是要访问的主机ip地址或者网段,属必填项,填好之后保存。

69390409097

69390414261

保存“My Scans”后,点击“start scan”就可以开始扫描了。还可以根据自己需求设置定时扫描,扫描后将会把扫描报告发送到指定邮箱。

扫描报告:

69390470499

使用AWVS13扫描漏洞

安装软件

69390486861

运行AcunetixWVS看到如图2-7所示界面,点击Add Target添加扫描目标,在弹出的窗口(图略)中添加地址信息Address和描述信息Description,地址信息可以是IP地址,也可以是URL。

69390507795

添加地址后,选择Business Criticality(业务关键级别),其他默认,然后点击Save。

在此界面,如果要扫描的网站需要登录,可以点击Site Login,输入登录信息。这里只做了一般配置(General),也可以进行爬行(Crawl)、HTTP、高级(Advanced)等配置。

配置完就可以点击Scan(扫描)窗口,选择Scan Type(扫描类型,可以选择FullScan完全扫描),选择Report(报告类型)和Schedule(明细清单),点击CreateScan就开始进行漏洞扫描了。根据网站规模和复杂程度的不同,扫描过程会持续不等的时间,一般耗时较长

69390532745

扫描成功

69390537471

]]>
0 https://xiongan.host/index.php/archives/219/#comments https://xiongan.host/index.php/feed/tag/%E6%89%AB%E6%8F%8F/