Skipfish是由谷歌开发的一款扫描工具,具有速度快、启发式内容识别、误报率低、可生成报告等优点。
1.扫描
skipfish -o test http://1.1.1.1test是扫描结果存放的目录
skipfish -o test @url.txt扫描域名列表
skipfish -o test -S complet.wl -W a.wl http://1.1.1.1指定字典
2.常用参数
-I 只检查包含 string 的url
-X 不检查包含 string的url
-K 不进行指定参数的Fuzz
-D 跨站爬行另一个域
-l 每秒最大请求数
-m 每ip最大并发连接数
--config 指定配置文件
3.身份认证
http认证:
skipfish -A user:pass -o test http://1.1.1.1
cookie认证:
skipfish -C “name=val” -o test http://1.1.1.1
表单认证:
--auth-form指定登录地址
--auth-user指定登录用户
--auth-pass指定登录密码
--auth-user-field指定用户名表单
--auth-pass-field指定密码表单
--auth-form-target指定提交到的页面
网友评论