漏洞扫描器

0x001 漏洞扫描工具

1. Nessus

下载地址：https://www.tenable.com/downloads/nessus?loginAttempted=true

安装过程可以查看文章：https://zhuanlan.zhihu.com/p/147239031?from_voters_page=true

点击 new scan 新建扫描

漏洞扫描，选择 Web Application Tests 即可

扫描选相关根据自己的实际情况填写，没有的话选择默认，点击扫描即可。

2. Acunetix WVS

Acunetix WVS是一个Web漏洞扫描器自动检查web应用程序。这个工具特别擅长扫描跨站点脚本漏洞，SQL注入、弱密码破解等。Acunetix用于测试你的网站，web应用程序是否安全，通过抓取和分析发现可能的SQL注入。通过测试，它可以列出详细报告，并据此加固web应用程序。

下载地址：https://www.acunetix.com/download/fullver14/

官网下载的只有14天的体验时间，如果想下载永久版的可以在网上搜索注册机

安装过程可以查看文章：https://zhuanlan.zhihu.com/p/102570351

简单使用：

点击 targets-->add target 添加目标

输入目标 IP ，Description（描述）可写可不写，点击保存。

此处根据自己遇到的情况进行选择

对有账号和密码的网站进行扫描，此处可以打开 Site Login ，点击 new 。

此时，会访问目标 IP 并弹出一个 web 页面，然后输入账号和密码，确认扫描即可。

3. goby

下载地址：https://gobies.org/#dl

安装之后点击 Goby.exe 文件运行即可。

点击扫描，新建扫描任务

• IP/Domain：可以填写 IP 地址或者域名
• Black IP：可以填写多 IP 段地址，如192.168.1.0/24 192.168.2.0/24
• 端口：根据自己的实际情况进行选择

点击高级配置

可以选择自己想要的漏洞对目标进行检测。

4. Burpsuite

Burp Suite是一个平台，其中包含不同类型的工具，它们之间有许多接口，旨在促进和加速攻击应用程序的过程。所有这些工具共享相同的框架来显示和处理HTTP消息、身份验证、持久性、日志记录、警报、代理和可扩展性。

抓取目标网站的数据包

此时可以点击网站的每个页面，然后这些页面会在 Target 下面生成网站树

然后选中目标网站，点击右键，选择 scan-->open scan launcher 新建扫描，items to scan 出现的内容就是你要扫描的目标

点击 OK 即可开始扫描，扫描进度和结果会显示在 Dashboard

目前常用的就这几款扫描器，后面接触到了再进行更新。。。