APPSCAN演示详解
使用向导
web applicaton 应用程序
依然有录制过程 完成身份认证过程
手动爬网有所不同
添加爬网结果 自动初步测试
然后辅助自动爬网 然后用其它方式爬网
扫描 发现新页面继续下一次扫描 直到前后访问页面相等
扫面结果可以看原因咨询源码浏览器查看等
手动测试 相当于repeater
数据按钮
问题按钮
任务按钮 

自定义配置扫描
cookie 策略 选项等等
报告
Power Tools

PSCAN
1 扫描过程
探索阶段（爬网）（把IE集成到appscan里面  不用设置代理）
测试截断（对url进行注入探测）
2 第一个过程发现新的url地址，下一个扫描过程自动开始（测试时 额外发现的url）
5 软件安装
3 向导方式
4 完全配置

2 AWVS演示方法
site crawler爬网的身份认证
Target finder  服务发现
scanner 信息收集  由域名找子域
blind SQL注入 探测与发现与攻击利用
HTTP editor（repeater）（里面有一个解码编码）（手动爬网的内容save 在自动爬网导入  保存爬网内容）， Sniffer（proxy）， Fuzzer（替换类型与插入payload alt+小键盘为ascc码 add payload与insert payload）
扫描 New scan  （向导模式）
对爬网的内容进行扫描
扫描的配置与设置
可以对扫描出来的内容进行导入到其它插件进行操作
对值点击添加按钮
身份认证测试
Compare Result（两个不同的帐号进行登录）
web service 
web applicaton配置  有个身份认证的录像  有个acuSensor灰盒测试部署后扫描
scan 配置        
报告功能 

AWVS（web弱点扫描器）

1 AWVS简介
自动爬网，支持AJAX JavaScript

AcuSensor灰盒测试（最大特点 与开源的扫描器相比）
发现爬网无法发现的文件
额外的漏洞扫描
可发现存在漏洞的源码行号
支持PHP，.NET（不获取源码的情况下注入已编编译.NET）

生成PCI，27001标准和规报告

网络扫描
FTP，DNS，SMTP，IMAP，POP3，SSH，SNMP，Telnet
集成openvas扫描漏洞

代理截断工具
paros
各种工具的根本 但简陋
options里查看各种功能  监听代理 证书 身份认证等
scan  扫描  anlyse里的扫描策略
webcarab
与以上功能类似

burpsuite 编码
Decoder里
因为注入时 被绕过
Comparer
对返回信息等进行比较
options里的身份认证的添加
因为burpsuite有扫描功能  对目标站点进行扫描 也可用代理隐藏ip
SSL （客户端 服务端）证书 加密算法
display 
Misc 分类log 保存  定期扫描 
scheduled Tasks
Alert 看代理listen是否成功  
Extend 功能模块的添加

burpsuite Sequencer 序列
访问web applicaton时 会生成一个sessionid  伪随机数或随机数生成的（伪随机的可以有规律可循）
用Sequencer判断生成的sessionid是否为伪随机
先选中要判断sessionid 然后start live capure 随服务器发送发起请求 返回大量的sessionid  有FIPS加密算法（一般在Character-level Bit-level等层面分析）进行计算处理

burpsuite repeater
在任何一个点里 都可以右击send to repeater
最简单的使用方式：repeater对提交的内容多次提交并返回  进行修改信息

change request method（提交方式）/body encoding（编码方式）  
Copy as curl command  curl命令 进行对服务器的提交
Convert selection 等 

repeater菜单 重定向一般Never

burpsuite intruder（用来做Fuzzer 模糊测试的）
在site map 发送到intruder 
进行add 定义变量 进行替换

攻击类型
sniper
如果有多个变量  逐一的变量进行插入 只能payload一个字典 用这一个字典进行逐一的变量替换  intruder 里的start hack
比如 在替换第一个变量时 第第二个变量保持不变  替换第二个 第一个不变
battering ram
同时替换变量的值  每一次替换时 变量值一样  payload只能一个字典
pitchfork
2个字典  成对出现替换 对变量进行替换  也就是字典的替换的变量最后使用到的次数相同
Cluster bomb
2个字典的 第一个字典的一个 尝试第二个字典的所有

无法从length 响应码 看是否成功   Location的重定向网址来看 或者 从intruder的option里 Grep-Match（是否排除头） 来进行设置 attack后的第一列的列名  再一次attack 有了这个名字就有勾

payload的type  不同的type使用规则不同
对payload内容加工 payload Processing
payloads的里面的的options add from list 里有burpsuite自带的字典  以及对payload内容的编码等

burpsuite扫描
对爬网内容进行扫描
scanner的option
在 site map 右击扫描
extender bapp store 对插件进行安装
有的需要jython来安装使用 在option python环境里 指定下载的jython
http://www.jython.org/downloads.html 下载standalone独立版本的
j2EEScan（扫描与j2EE有关的） CO2（与sqlmap进行结合） 这两个插件

burpsuite爬网
spider  
手动爬网
自动爬网 在Target的站点进行右键爬网
爬网选项option：对身份认证进行提示 进行认证 等
对爬网内容进行保存
Comparing site map 在site map
对爬网内容进行比较 右击Comparing

burpsuite证书
CA（导入/导出）
CA certificate 导出公钥证书 在浏览器中导入  代理截断两功能分开
截断  
intercept client requests 发出的
通过正则匹配进行截断内容
如果发送的头的变化 burpsuite可以调整
intercept server requests 返回的   三重返回
intercept websockets requests
访问请求（包括链接）保存在http history
option 进行 Reponse modification  进行请求内容就能行修改
match and replace 对请求自动修改进行提交

Target
Scope（logout）通过正则 过滤不想看的 以及只显示想看的 添加在Scope
Filter site map 进行显示内容设置
注释comment 高亮显示 等 
Comparing site map

Burpsuite
Web安全工具的瑞士军刀
统一的集成工具发现全部现代WEB安全漏洞
PoetSwigger公司开发
最好安装 oracle java
burp free  手动  没有主动扫描
burp Professional  有主动扫描
http://www.portawigger.net
所有的工具共享一个能处理并显示HTTP消息的可扩展框架 模块之间无缝交换信息
先安装oracle java
解压  有linux的启动脚本
先修改字体  无法显示中文（乱码）  options display message 
模块
proxy（最大的功能特点）
option
binding 可以让别人使用本机代理
request handling  把消息重定向到指定的服务器中（可以解决后面的问题）
SSL 把明文ssl加密
不可见的代理     invisible 代理  对不支持代理的客户端（仍然走http协议）进行代理 通过DNS欺骗 中间人劫持 把域名解析成burpsuite的ip  把请求发给本机代理窗口  本机再次访问真实ip 会有死循环 那么 进行对burpsuite解析  不用本地host
option 用hostname resolution 把域名解析成ip的地址  转发到真正ip
客户端发送的http请求的头 的标准与不标准 发到burpsuite来解析域名
invisible（主机头/多目标域名） 访问多个主机时 burpsuite创建多个lo网卡（系统命令创建） 在每一个lo网卡创建一个监听器 通过多个监听器来监听   然后对其多转发来重定向
截断流量与请求

SQL注入无权读取information_schema库/拒绝访问union order by语句
information_schema库 包含数据库管理的所有信息  需要有root权限运行数据库
猜列名   'and column in null--      column这个列里面有空字段  前面猜到数据库查询语句为查找表里面where这个
burpsuite自动猜列名   构造语句  在插入的地方add成变量 使用字典 
猜当前表表名   'and table.user in null--    绝对路径   表名.列名（刚才已经猜到的列名） 返回正确有该表 当然可以用 数据库.表名.列名  查数据库  （表与列都知道）
还可以用burpsuit完成  grep -v 是不包含后面的东西

猜库里其它表名  'and (select count(*) from table)>0--  把表里的行数的统计数做一个记录  有记录数说明这个表存在 
列表对应关系  and users.user is null--
猜字段内容   'or user='admin  认为user为已知的列名 有一个为真 则返回真的结果  为假返回假的结果     'or user like'%a%     前后有几个字符没有关系
猜帐号对应密码   'or user='admin'and password='ddd131545asd54da1d231d5ad5a2as85  在已知存在的列构造猜内容  在字典中的每一个位置 进行md5sum变为md5值
这些查询语句是依照查询语句来构造的

OWASP_ZAP
标准扫描工作流程
1 设置浏览器代理
2 手动爬网
3 利用OWASP_ZAP的自动爬网功能 爬网  右击页面有新发现（爬行 强制浏览web服务器 看目录和文件的 active scan 在下面 利用字典爬网 ）
4 active scan 用扫描策略进行扫描
5 在警报看结果分析

OWASP_ZAP功能详解
persist Session  保存设置
Mode--safe、Protected、Stadard、ATTACK   对目标扫描时安全性从左到右
升级add-ons    之前那节课的内容
Scan policy    扫描策略  可以配置
报警值 攻击强度  
Anti CSRF Torkens  防止CSRF攻击 每次提交访问请求 都会随机产生一个cookie值  防止重放攻击
在设置中可以设置 
https--CA    通过代理访问 证书不认可 配置保存根证书并在浏览器安装 
Scope/Contexts/filter  区分扫描  限制范围 保存为scope 快速筛选出目标站点 
Http Sessions--default session tokens&site session tokens  
身份认证 session properties （扫描一个站点就是一个session）支持基于脚本的身份认证 需要写一个  站点右面加号 然后有脚本   ttp Sessions范围
Note/tag  对扫描标签 
Passive scan 
对左面的每一个页面在下面都有处理选项
工具option 
编码解码哈希值  可以对其编码绕过过滤 代理截断  使用代理强制显示隐藏域（代码的hidden） 被动扫描规则 spider  主动扫描 等
所以通过漏洞可以写代码上传控制服务端

SQL注入利用思路-编写服务端代码
不想得到shell 因为权限低 无意义时
一个思路
编写服务器端代码  写一个帐号注册功能
前提是对目标服务器的充分了解

3 Fuzz 暴力破解
（1）用户穷举  tools里面启动
对页面文件的发现  如在一个php中 是否存在其他的php
选择Fuzz的字符串内容 add payload 通过对这一段内容进行替换字符 add
 （2）在得到的站点 在右面直接选中字符串进行Fuzz
payload add 可以进行类型选择 file fuzzers（文件fuzz等于字典） rexdex（正则0） script（脚本） strings 文件 

快速筛选
通过下面的可以排序

暴力破解
在login,.php
进行密码fuzz

4 API
程序开发的接口
对特定目标进行特定定制开发  进行OWASP代理访问下面url
http://zap/

web扫描器 OWASP_ZAP 集成性更加完整等
截断代理 被动 主动扫描
Zed attack proxy
WEB applicaton 集成渗透测试和漏洞挖掘工具
启动Session 工作内容的保存
1 截断代理
启动OWASP  代理默认启动

Manage Add-ons来进行更新 
装Release Beta (Alpha) 
2 主动 被动扫描
截断代理手工爬网 然后被动扫描  
quick start进行主动 但是没有cookie信息进不去有身份验证的扫描 先进行爬网 再扫描 
当截断访问网站后 右击active scan 主动扫描 选择扫描策略 基于已经爬到的进行主动扫描 爬到什么内容就是什么内容了就不会再爬了 

Arachni使用方法（Profile Dispatcher Grid）

1 Profile 
import
export
New

开始扫描靶机
在web界面
scan  new scan来扫描 进行填写 目标 配置（XSS是跨站脚本漏洞）  描述 共享 （高级选项）开始扫描

扫描方法 Grib direct remote 扫描 等3个

扫描结果
通过show scan可以参看
对php的文件
php是服务器端的内容  不会被浏览器蓝下载  返回的是php处理结果  
但有php站点有一个常见漏洞  显示代码 ?-s   就可以了
会发现后门文件webshell ?-s 参看源码

2 Dispatcher
./arachni_rpcd --address=127.0.0.1 --port=1111 --nickname=test1

形式：
支持分布式扫描  在很多台电脑生成多个Dispatcher  相当于agent  发给Dispatcher让他扫描  让多个Dispatcher扫描不同的站点
可以让多个Dispatcher去扫描一个目标站点 提高速度

还支持scheduling  进行目标站点漏洞跟踪  就是计划扫描

issues显示问题
手动对漏洞进行查看问题所在 人工验证
 
菜单的功能
（1）user 登录的帐号
F12  会发现登录的cookie会在变化  所以使用cookie的扫描器就失效了
（2）Dispatcher 连接已经有的Dispatcher
在bin目录  ./arachni_rpcd --address=127.0.0.1 --port=1111 --nickname=test1  
生成Dispatcher 等着别人来连接  可以工作在另外的机器中  ip来指定  监听的端口 等待别人通过这个端口来管理它   Dispatcher名字
用Dispatcher来连接  先new一个   然后连接   
用连接的Dispatcher来scan新目标站点  可以实现其它机器来发起扫描  相当于找代理了  隐藏ip
实现多个Dispatcher  需要使用网格 Grip
（3）Profile  扫描的配置文件  默认3个
可以导出配置文件  导入从import导入该配置文件

指定向配置文件
可以new也可以在default复制修改
Grobal是谁使用

scope扫描范围
目录多少深度多少层 页面 扫描的域名范围 子域   二进制文件（二进制会误导扫描器） DOM的深度  redundant的文件不扫 对页面排除 路径的排除（如logout.php）指定扫描only  爬网路径  扩展路径（外部链接）  

Audit扫面的目标
http header 值得检查  提交方法 cookie扩展 向所有连接发送cookie等

input提交数据的格式

http
有代理服务器 隐藏ip 会对代理进行设置 响应文件的大小 http cookie 定制的http header 等 其中数据对本机内存会有要求

Platform 目标服务器平台
所以需要自己去发现平台是什么 然后来配置（搭配其它工具）

check  扫描的功能 扫描什么漏洞
主动与被动
plugins 插件功能漏洞
WAf的设置
Session检查 登录成功特征字符

新建scan来进行配置配置文件来进行扫描 更有针对性

3 Grip
./arachni_rpcd --nickname=test2 --address=127.0.0.1 --neighbour=127.0.0.1:1111   与刚才的在一起了
（RPC协议 远程进程的调用 这个协议的漏洞挺多）
则tset1  test2 为一个组的成员  
如果有第三个  neighbour指定在第2个  一次类推  链式指定