vega使用代理访问https
证书颁发给域名而不是ip
skipfish
c语言编写 谷歌开发的
实验性的主动web安全评估工具 代码层
递归爬网 基于字典的探测
速度快 多路单线程 全异步网络I/O 消除内存管理和调度开销
启发式自动内容识别
误报较低
skipfish
-o 跟一个目录,若无文件,就创建
-I 'string' 只检查包含‘string’的网页
@url.txt 扫描地址文件
-S xxx.wl 以wl结尾的是字典文件(只读的字典)
-W xxx.wl 把爬到的网站特有的目录保存起来
-X 'string' 检查不包含‘string’的页面
-K 不对指定做fuzz测试
-D 爬站点爬到另外一个域
-L 每秒最大请求数
-M 每ip最大并发数
身份认证
-A user:pass
基本身份验证
-C "name=vval"
cookie验证
--auth-form 表单地址
--auth-user-field 输入用户名的地方
--auth-pass-field 输入密码的地方
--auth-form-target 登录信息提交给谁处理
--auth-user 用户名
--auth-pass 密码
--auth-verify-url 登录成功后的页面
