超轻量级Web安全漏洞扫描工具Netsparker使用教程介绍

时间:2024-02-21 21:14:20

Netsparker是一款web应用安全漏洞扫描工具

Netsparter官网:https://www.netsparker.com/web-vulnerability-scanner/,与其他安全扫描工具相比更好检测SQL注入和跨站脚本攻击类型的安全漏洞。

  1. 打开工具,点击start a new scan,选择full scan(全部扫描),单击开始

  1. 在登录下进行扫描

  1. 等待扫描结果,并分析

 

常见问题分析

  1. Cross-site Scripting 跨站脚本
  2. Password Transmitted over HTTP 通过HTTP传输密码
  3. Version Disclosure (Java Servlet) 版本信息披露

推荐资料

网站:http://www.wooyun.org/ 书籍:白帽子讲Web安全

测试中遇到的问题

  1. 登录操作扫描,在第三步playback处出错无法再进行下去?

  第一个URL是登录界面的URL, 第二个URL是这个被测网站的URL, 可以打开帮助文档看到这个截图,类推:

  1. Netsparker能否生成报告,没有的话安全报告怎么出?截图?

窗口Reporting--》Comperrision Report---》保存文件为html或者pdf格式的---》在跳出的窗口中选择open

这个工具的测试报告是以问题列表形式提供的, 可以直接导出到.nss文件, 只要安装了这个工具,双击打开即可. 如果要提供自定义的报告,那么需要在测试前先规划好: 
对 某些功能模块专门的做安全测试, 测试的策略是如何的,测试的用例是如何设计的,最后的测试结果又是怎样等. 不能完全依赖于这个工具, 这个工具还有很多的插件,新版本也在不断的添加测试内容. 测试报告要根据我们的测试计划来写, 明白系统的哪些地方是薄弱环节,要有针对性的测试. 例如,表单的重复提交就是一个非常容易出问题的环节.

  1. 登录有验证码的是否要将验证码去掉?

如果有验证码, 需要用万能验证码或者屏蔽验证码后才能继续.

 

[原创]超轻量级Web安全漏洞扫描工具Netsparker使用教程介绍

一 Netsparker工具简介

  Netsparker是一款综合型的web应用安全漏洞扫描工具,它分为专业版和免费版,免费版的功能也比较强大。Netsparker与其他综合 性的web应用安全扫描工具相比的一个特点是它能够更好的检测SQL Injection和 Cross-site Scripting类型的安全漏洞。

 

二 Netsparker官方网站及下载地址

官方网站: www.netsparker.com 

 

三 安装(略)

 

四 Netsparker工具使用介绍

1、输入目标URL并且选择合适的扫描策略

2、点击‘Start Scan Wizard’并且在接下来的窗口中点击Next

3、你可以点击‘Optimize’按钮(一系列系统推荐选项),当然你也可以继续Next

4、点击‘Scan Settings’选项卡进行爬虫等配置

5、确认配置

6、点击‘Start Session’进行初始化本次扫描项目,并且在下一个窗口中点击‘Start scan’

 

  卖烧烤的鱼点评:Netsparker是一款轻量级的Web安全扫描工具,如果大家使用时,不复杂的网站及活动页面可以优先考虑,如果是非常复杂的网站,建议采用 Ibm appscan。