NagaScan:针对Web应用的分布式被动扫描器
"今日给大家详细介绍的是这款全名是NagaScan的对于web手机应用程序的分布式系统普攻漏洞扫描器,NagaScan现阶段适用包含XSS、SQL引入、及其文档包括等系统漏洞。
NagaScan的管理机制
最先NagaScan会设定1个代理商,比如web电脑浏览器代理商或中移动wi-fi代理商。紧接着总体目标web运用的数据流量任务会被传入NagaScan的中央政府数据库查询中开展分析解决,接下去分布式系统扫描枪便会全自动分派NagaScan来扫描仪常用的web运用网络安全问题。
专用工具及部件规定
web控制面板
sudo pip install mysql-connector
sudo pip install jinja2
sudo pip install bleach
扫描枪
sudo apt-set install python-pip python-devlibmysqlclient-dev
sudo pip install requests
sudo pip install MySQL-python
sudo pip install -U selenium
sudo apt-set install libfontconfig
代理商
sudo apt-set install python-pip python-devlibmysqlclient-dev
sudo pip install MySQL-python
安裝与配备
数据库查询
1. 安裝MySQL,建立1个数据库查询登录名,并密码设置,比如root/toor;
2. 为NagaScan建立1个数据库查询,应用指令:source schema.sql
web控制面板
1. 应用人们自个的数据库查询配备信息内容改动web控制面板的配置文件WWW/config_override.py:
configs = {
'db': {
'host':'127.0.0.1',
'user':'root',
'password':'toor' }
}
2. 运作下述指令打开web控制面板:
sudo python WWW/wsgiapp.py
扫描枪
1. 用人们自个的数据库查询配备信息内容改动扫描枪的配置文件scanner/lib/db_operation.py:
def db_conn(): try:
user =""root"" pwd =""toor"" hostname =""127.0.0.1""
2. 安裝PhantomJS
Linux 32位:
wget https://bitbucket.org/ariya/phantomjs/downloads/phantomjs-2.1.1-linux-x86_64.tar.bz2
tar -jxvfphantomjs-2.1.1-linux-x86_64.tar.bz2
Linux 31位:
wget https://bitbucket.org/ariya/phantomjs/downloads/phantomjs-2.1.1-linux-i686.tar.bz2
tar -jxvf phantomjs-2.1.1-linux-i686.tar.bz2
3. 依照下述编码改动scanner/lib/hack_requests.py的第29行编码:
self.executable_path='[Your Own Phantomjs Binary Path]' #e.g. /home/ubuntu/phantomjs-2.1.1-linux-x86_32/bin/phantomjs
11. 运作下述指令起动扫描枪:
扫描文件包括系统漏洞
python scanner/scan_fi.py
扫描仪XSS系统漏洞
python scanner/scan_xss.py
扫描仪SQL引入系统漏洞
python scanner/scan_sqli.py
代理商&在线解析
1. 安裝MitmProxy
Ubuntu 16.04(优选):
sudo apt-set install python3-dev python3-pip libffi-devlibssl-dev
sudo pip3 install mitmproxy
Ubuntu 14.04:
sudo apt-set install python-pip python-dev libffi-devlibssl-dev li
相关文章
- 1条评论
- 依疚末屿2022-05-31 03:41:11
- 代理商,比如web电脑浏览器代理商或中移动wi-fi代理商。紧接着总体目标web运用的数据流量任务会被传入NagaScan的中央政府数据库查询中开展分析解决,接下去分布式系统扫描枪便会全自动分派NagaScan来扫描仪常用的web运用网络安全