前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >Sitadel:一款功能强大的Web应用扫描器

Sitadel:一款功能强大的Web应用扫描器

作者头像
FB客服
发布2019-05-09 16:53:41
1.2K0
发布2019-05-09 16:53:41
举报
文章被收录于专栏:FreeBuf

Sitadel实际上是WAScan的升级版,不过是Python版本(>= 3.4)的,这样有助于研究人员根据自己的需要去进行自定义开发,并引入新的功能模块。

目前,Sitadel可实现扩展的功能如下:

前端框架检测; 内容分发网络检测; 定义扫描风险等级; 插件系统; 可使用Docker镜像进行构建和运行;

工具安装

代码语言:javascript
复制
$ git clone https://github.com/shenril/Sitadel.git
$ cd Sitadel
$ pip install .
$ python sitadel.py –help

功能介绍

1. 指纹识别

a) 服务器 b) Web框架(CakePHP、CheeryPy......) c) 前端框架(AngularJS、MeteorJS、VueJS......) d) Web应用程序防火墙(Waf) e) 内容管理系统(CMS) f) 操作系统(Linux、Unix......) g) 编程语言(PHP、Ruby......) h) Cookie安全 i) 内容分发网络(CDN)

2. 攻击

(1)暴力破解

管理接口 常用后门 常用备份目录 常用备份文件 常用目录 常用文件 日志文件

(2)注入攻击

HTML注入 SQL注入 LDAP注入 XPath注入 跨站脚本(XSS) 远程文件披露(RFI) PHP代码注入

(3)其他攻击

HTTPAllow方法 HTML对象 多重引用 Robots路径 WebDav 跨站追踪(XST) PHPINFO Listing

(4)漏洞利用

ShellShock 匿名密码(CVE-2007-1858) SPDY(CVE-2012-4929) Struts-Shock

参考命令

简单运行:

代码语言:javascript
复制
python sitadel http://website.com

以“高危”风险等级运行扫描,不支持重定向:

代码语言:javascript
复制
python sitadel http://website.com -r 2 --no-redirect

运行指定模块(查看运行日志):

代码语言:javascript
复制
python sitadel http://website.com -a admin backdoor -f header server –vvv

Docker运行:

代码语言:javascript
复制
docker build -t sitadel .
docker run sitadel http://example.com

Sitadel项目地址:【GitHub传送门】

* 参考来源:kitploit,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2019-01-30,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 工具安装
  • 功能介绍
    • 1. 指纹识别
      • 2. 攻击
      • 参考命令
        • Docker运行:
        相关产品与服务
        容器镜像服务
        容器镜像服务(Tencent Container Registry,TCR)为您提供安全独享、高性能的容器镜像托管分发服务。您可同时在全球多个地域创建独享实例,以实现容器镜像的就近拉取,降低拉取时间,节约带宽成本。TCR 提供细颗粒度的权限管理及访问控制,保障您的数据安全。
        领券
        问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档