前言
最近在加深对awvs,xray,nessus的了解以及使用。下面是记录的一些遇到的问题。
使用awvs过程中遇到的问题:
01,安装好awvs13破解版后,继续安装AWVS-13-SCAN-PLUS,这个的接口密钥在安装好后awvs网页里面,登录之后用户里面找api密钥。plus好处是可以批量导目标比较方便。需要注意的是,用plus扫完后记得保存报告,否则你在用网页版的扫新目标后,在用plus,之前的扫描记录就没了,里面只会有你在网页版里建的那个最新的任务,对了,plus记得多右键刷新。
02,使用awvs扫本机搭建的dvwa环境,换路径,换不同的登录方式进行扫描,扫出的漏洞数有很大差异,本机上phpstudy搭建的环境,修改了host文件。用awvs进行登录后扫描,我用了两种不同方式,一种是填写好用户名密码,扫描的时候自行登录,另外一种是预登录,扫描的时候会带登录后的cookie进行扫描,两种不同方式结果差异很大,第二种一般适合那种带验证码的网站的扫描,第一种适合只用用户名密码进行登录的网站。换路径的时候又不同了(都是可以正常访问网页的),现在想不通,先在这里记一下,以后再研究研究。
xray
安装没有问题,使用的时候遇到问题了,安装好证书后,扫描https网站的时候没有反应,浏览器代理都设置好了,示例里的是http的网站。不过这里新学到了一个代理插件的使用,谷歌下插件需要fq了,现在的PP助手没作用了,不能使用谷歌搜索引擎,如果使用的其他搜索引擎,不需要代理,可以正常使用谷歌浏览器。(xray不能扫https网站,我还不如用awvs呢)
nessus
安装没问题,就是扫不出漏洞,虚拟机设置的桥接,互相ping通(ping不同的问题解决了),看了下,实际安装的过程中和网上的有点差异,看插件的地方是空的,怀疑是某一步出的问题,后续再重装吧(今天装了2遍了,就是找哪里出现的问题)
收获:
01,安装并使用这些工具,了解并熟悉工具的大部分界面。
02,看xray的扫描报告,看懂,并进行验证,也学到了点东西。
来源:freebuf.com 2021-03-26 21:48:21 by: darkin
请登录后发表评论
注册