• / 28
  • 下载费用:10 金币  

l003010019-利用webcruiser扫描网站漏洞.doc

关 键 词:
l003010019 利用 webcruiser 扫描 网站 漏洞
资源描述:
课程编写类别内容实验课题名称利用WEBCRUISER扫描网站漏洞实验目的与要求1、掌握WEBCRUISER扫描工具的常用方法2、了解常见的WEB漏洞实验环境VPC1虚拟PC)操作系统类型WINDOWS2003ANDWINDOWSXP,网络接口ETH0VPC1连接要求PC网络接口,本地连接与实验网络直连软件描述1、学生机要求安装JAVA环境2、VPC安装WINDOWS2003,WINDOWSXP实验环境描述1、学生机与实验室网络直连2、VPC1与实验室网络直连3、学生机与VPC1物理链路连通;预备知识WEB安全扫描工具WEBCRUISERWEBVULNERABILITYSCANNER一个小巧但功能不凡的WEB应用漏洞扫描器,能够对整个网站进行漏洞扫描,并能够对发现的漏洞(SQL注入,跨站脚本,XPATH注入等)进行验证;它也可以单独进行漏洞验证,作为SQL注入工具、XPATH注入工具、跨站检测工具使用。运行平台WINDOWSWITHNETFRAMEWORK20或以上。界面语言英文版功能简介网站爬虫(目录及文件);漏洞扫描(SQL注入,跨站脚本,XPATH注入);漏洞验证(SQL注入,跨站脚本,XPATH注入);SQLSERVER明文/字段回显/盲注;MYSQL字段回显/盲注;ORACLE字段回显/盲注;DB2字段回显/盲注;ACCESS字段回显/盲注;管理入口查找;GET/POST/COOKIE注入;搜索型注入延时;自动从自带浏览器获取COOKIE进行认证;自动判断数据库类型;自动获取关键词;多线程;高级代理、敏感词替换/过滤报告;实验内容利用WEBCRUISER扫描网站漏洞实验步骤1、学生单击实验拓扑按钮,进入实验场景,进入目标主机,(第一次启动目标主机,还需要安装JAVA空间)。如图所示2、学生输入账号ADMINISTRATOR,密码123456,登录到实验场景中的目标主机。如图所示3、我们把WINDOWS2003机器作为服务机(IP地址为19216820017),把XP系统作为客户端(IP地址为19216820016)。在地址栏里输入19216820017就可以打开WINDOWS2003系统中架设的网站。如下图4.该程序是基于NET开发的,所以我们首先要安装NET环境,安装NET(D\TOOLS)5安装完毕后,进入D\TOOLS\WEBCRUISER,点击WEBCRUISERWVSEXE。6.在URL栏里输入HTTP//19216820017/访问要测试的网站地址,点击GET后边的绿色箭头进行浏览。如图所示7.接下来点击工具栏里的SCANNER按钮,进行扫描。如图所示8然后选择“SCANCURRENTSITE”,进行扫描当前网站。这是扫描整个网站的结果。如图所示9.扫到三个漏洞,分别是SQL注入漏洞以及跨站漏洞。右击会有相应的漏洞选择。如图所示10右击SQL漏洞选择“SQLINJECTIONPOC”,然后跳入到SQL注入界面。点击“GETENVIROMENTINFOMATION”按钮,如图所示11.点击“DATABASE”选项,获得到当前的数据库,数据库类型是“ACCESS”。12打勾选中“ACCESS”数据库,然后点击“TABLE”,用来获取当前数据库中的表。13获得到当前的表是ADMIN表格。如图所示14获得到当前的字段名字有ID,USERNAME,PASSWORD等。如图所示15选中USERNAME和PASSWORD字段,然后在右边ROWS里设置为1TO1后点击“DATA”获取数据。就可以获取到用户名和密码都是ADMIN如图所示16点击“ADMINISTRATIONENTRANCE”进行扫描后台,不过效果不好,扫不到不后台地址。可以配合啊D和名小子来配合扫描。如图所示17点击VULNERABILITYSCANNER,然后选择“CROSSSITESCRIPT(URL)POC”,会转到CROSSCROSSSITESCRIPT。如图所示18点击“GETFORMSFROMURL/MANUALXSSTEST”。19接下来会弹出一个完成框,提示XSS数据已经被提交上去了。可以在SENDMAILASPID2页面里,右击查看源代码。如图所示20接下里看下该程序自带的一些工具RESENDTOOL(重新提交)。如图所示21接下里看下该程序自带的一些工具COOKIETOOL(获取COOKIE以及设置COOKIE)。如图所示22接下里看下该程序自带的一些工具CODEOOL(从当前页面或者浏览器获取代码)。如图所示23接下里看下该程序自带的一些工具STRINGTOOL(字符编码工具)。如图所示24接下里看下该程序自带的一些工具SETTINGS(设置选项),设置代理地址,用户名等信息并可以设置扫描选项等信息。如图所示25.接下里看下该程序自带的一些工具REPORT,可以设置报告输出,直接点击GENERATEREPORT即可。如图所示26生成的报告默认在WEBCRUISER文件夹里。如图所示27打开HTML页面,就能看到报告的详细内容,然后根据报告内容进行漏洞修复。28、实验完毕,关闭虚拟机和所有窗口。
展开阅读全文
  麦档网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
0条评论

还可以输入200字符

暂无评论,赶快抢占沙发吧。

关于本文
本文标题:l003010019-利用webcruiser扫描网站漏洞.doc
链接地址:https://www.maidoc.com/p-1589.html

当前资源信息

懒洋洋

编号: 20180301224650876144

类型: 共享资源

格式: DOC

大小: 1.38MB

上传时间: 2018-03-01

关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

[email protected] 2018-2020 maidoc.com版权所有  文库上传用户QQ群:3303921 

麦档网为“文档C2C模式”,即用户上传的文档所得金币直接给(下载)用户,本站只是中间服务平台,本站所有文档下载所得的金币归上传人(含作者)所有。
备案号:蜀ICP备17040478号-3  
川公网安备:51019002001290号 

本站提供办公文档学习资料考试资料文档下载


收起
展开