查看文章 |
Acunetix Web Vulnerability Scanner 5.1 下载好后,将破解文件放入安装文件同目录下,破解后,输入任意注册码就行了。经测试可以自动更新。大家爽吧! 下载地址:http://www.namipan.com/d/193ff0b776001e3637304e689be8abfa86188637e6527900 下载回来记的先更新
这样才有新的攻击脚本 不要拿着旧的攻击脚本来做测试再来怪软体抓不到新的攻击手法 就像防毒软体不更新病毒码再来怪防毒软体抓不到病毒(这样比喻对吗?) 都准备好后开始测试吧 测试的步骤如下
Scan后出现这个画面 输入你要扫瞄的站台 这边他会寻找所有的站台里的连结来测试所有的页面 所以只要设定首页就好了 跳过3个步骤后来到login的步骤 如果你要测试的是需要login的网站的话就要在这边设定登入者的资讯
再address输入登入页面的网址后按下OK开始录制你的登入步骤 一般来说就是输入你的登入帐号密码
下面方的画面中成功登入后点选save后帮此sequence取一个名子 然后在回到精灵后的login sequence旁的下拉清单选取刚录好的sequence 最后再进到下一步的finish按下Finish就开始扫瞄啰 扫瞄的步骤可能会多达数小时 时间取决于你要扫瞄的站台的程式多寡 最后你会得到一个
这样的画面 这里是先到安装资料夹下面的Data\Samples去打开一个sample来给各位看
直接点开最近我们最关心的SQL Injection来看 可以发现AJAX/infoartlist.php程式有两个参数有sql injection的问题 WVS在右边有很贴心的说出此参数可以被输入什么值(例如画面中的单引号之类的等等...) 还有问题的描述等 如果你再刚刚的设定精灵的最后一步有选取将结果存到资料库(mdb)中的话 你还可以用WVS Reporter去开启 只是这边就需要完整版了
之前做测试的时候 有一次整个table的资料全部被砍光 大概是WVS再做测试时输入了delete整个table的语法吧 还有就是WVS会塞入大量资料进资料库中 所以要做测试的话最好是选在网站上线前并且做好资料库备份比较妥当^^ |
