skipfish试用
一。简介
google的一款安全扫描工具,项目地址在http://code.google.com/p/skipfish/
?
?
指定了网址的root目录之后,会自动向下遍历
?
扫描结果,会输出静态的html页面,google给出的示例截图如下:
?
?
但是在我扫描了workproject之后,发现结果是空空如也,啥子都木有。
?
?
四。详细分析
在第2步骤中,我们使用了这个命令去扫描项目,但是skipfish如何去获取网站下面有哪些url呢?
?
?
然后tar -cvf outA.tar outA/,把输出弄到本地来看,这里就出现陷阱了!!
?
使用chrome打开index页面,可能看到的输出结果会是空的。让人以为扫描失败。
但是,换ff,则可以看到这个结果:
?
?
具体原因,查看http://code.google.com/p/skipfish/wiki/KnownIssues??pro 6#
1 楼 imlaosan 2010-07-06 那个,请问一下,你用skipfish扫描过“WebGoat”这个网站吗?可否分享一下扫描配置和结果,我一直没有扫描出漏洞来,多谢 2 楼 sw1982 2010-07-07 imlaosan 写道那个,请问一下,你用skipfish扫描过“WebGoat”这个网站吗?可否分享一下扫描配置和结果,我一直没有扫描出漏洞来,多谢
这个倒没有尝试,公司的linux内网机器无法访问外网的,而我自己的机器上目前是没有linux。 晚些再试试把。 3 楼 imlaosan 2010-07-07 不用外网的,WebGoat一个专门为web漏洞设计的网站,已经打包部署好了,只需在网站下载下来解压缩点击配置文件就可以在浏览器打开了,回头你实验后看看结果吧,我最近要出报告,可是扫描结果就是不如任意,跟AppScan的差远了,网漏新手,还请帮忙啊,如果你需要webgoat的话我传给你,qunpeng@eyou.com
