美文网首页
十九、skipfish

十九、skipfish

作者: cybeyond | 来源:发表于2017-10-24 10:51 被阅读0次

    由谷歌开发,使用C语言编写,实验性的主动web安全评估工具,命令行模式,不支持代理模式
    递归爬网
    基于字典的探测
    速度较快:
    多路单线程,全异步网络I/O,消除内存管理和调度开销
    启发式自动内容识别
    误报较低

    扫描单个目标

    skipfish -o test http://1.1.1.1/dvwa/  如当前目录不存在test,自动生成test,用于存放扫描的结果,执行过程中,使用“空格”可以查看扫描的实时情况
    

    扫描多个目标

    skipfish -o test @url.txt   //扫描url.txt中包含的每行url地址,逐个扫描,并将结果保存在test目录中
    

    扫描隐藏目录

    dpkg -L skipfish | gerp wl   //自带的字典 
    
    skipfish -o test -S complet.wl  http://1.1.1.1   //使用complet.wl字典扫描1.1.1.1网址,并将结果保存在test目录汇总
    
    skipfish -o test -I /dvwa/ http://1.1.1.1/dvwa 只检查包含dvwa下的url
    

    -X 不检查包含‘string’的URL,如包含的logout
    -K:不对指定参数进行fuzz测试,不对某个变量参数做测试

    -D:跨站点爬另外一个域
    -l:每秒最大请求数
    -m:每IP最大并发连接数
    --config:指定配置文件

    身份认证

    • 基本认证
    skipfish -A user:pass -o test http://1.1.1.1
    
    • cookie认证
     skipfish -C "name=val" -C"name2=val2" -o test http://1.1.1.1
    
    • 使用表单认证
    skipfish -o test --auth-form http://1.1.1.1/dvwa/login.php --auth-form-target http://1.1.1.1/dvwa/login.php --auth-user-field username --auth-user admin --auth-pass-field password --auth-pass password --auth-verify-url  http://1.1.1.1/dvwa/index.php  -I dvwa http://1.1.1.1/dvwa
    

    相关文章

      网友评论

          本文标题:十九、skipfish

          本文链接:https://www.haomeiwen.com/subject/pxyslxtx.html