skipfish

  • 开发语言:C语言
  • 命令行扫描器
  • 主动扫描web安全评估工具
  • 谷歌开发
  • 已经不再进行维护
  • 重点关注web代码
  • 通过两种方式进项扫描:1、字典枚举 2、递归爬网
  • 优点:速度快、支持多路单线程,全异步网络I/O,消除内存管理和调度开销、支持启发式自动内容识别、相对来说误报较低

使用介绍

Welcome to skipfish. Here are some useful tips:    # 欢迎来到skipfish。这里有一些有用的技巧:

1) To abort the scan at any time, press Ctrl-C. A partial report will be written
to the specified location. To view a list of currently scanned URLs, you can
press space at any time during the scan.   #若要在任何时间中止扫描,请按CTRL+C 程序会编写部分报告,在指定的位置。若要查看当前扫描URL的列表,可以在扫描过程中随时按空格键查看。

2) Watch the number requests per second shown on the main screen. If this figure
drops below 100-200, the scan will likely take a very long time.#注意主屏幕上每秒显示的数字请求。如果这个数字

降到100-200以下,扫描可能要花很长时间。

3) The scanner does not auto-limit the scope of the scan; on complex sites, you
may need to specify locations to exclude, or limit brute-force steps.#扫描仪不自动限制扫描范围;在复杂站点上,您可能需要指定排除或限制蛮力步骤的位置。

4) There are several new releases of the scanner every month. If you run into
trouble, check for a newer version first, let the author know next. #每个月都有几个扫描仪的新版本。如果你遇到麻烦,先检查一个更新版本,让作者知道下一步。

更多信息: http://code.google.com/p/skipfish/wiki/KnownIssues

扫描方法

1、skipfish -o text http://1.1.1.1 #使用skipfish扫描http://1.1.1.1并将结果保存在text文档里

2、skipfish -o text @url.txt #创建一个TXT格式的URL文档目录并批量扫描文档中的url

3、skipfish -o test -S complet.wl -W a.wl http://1.1.1.1 # -S使用字典 (有些网站隐藏里某些界面 -S可以通过预先设置的字典来扫描网站隐藏的界面)-W 发现隐藏目录并形成字典

4、-I(大写i)只检查包含“字段”的url

5、-X 不检查包含“字段”的url 如:logout

6、-K 不对指定参数进行fuzz(模糊测试)测试

7、-D 跨站点爬另外一个域

8、-l(小写L)每秒最大请求

9、-m 每ip最大并发连接数

10、--config 指定配置文件

身份认证

身份认证提供多种方式:

1、   skipfish -A user:pass -o test http://1.1.1.1 #在基本身份认证的情况下使用开关 -A加用户名和密码 进行身份认证

2、   skipfish -C “name=val” -o test http://1.1.1.1 #使用cookies进行身份认证 使用开关 -C 加 name=val

3、   提交账户密码表单方式:

man skipfish #查询skipfish使用手册

----see you----

skipfish介绍的更多相关文章

  1. Kali学习笔记24:Nikto、Skipfish

    文章的格式也许不是很好看,也没有什么合理的顺序 完全是想到什么写一些什么,但各个方面都涵盖到了 能耐下心看的朋友欢迎一起学习,大牛和杠精们请绕道 实验环境: Kali机器IP:192.168.163. ...

  2. Dig skipfish proxystrike

    1.DNS域名信息收集,(Dig,挖掘局域网的信息之前的博客中已经做过介绍) 查询需要认证的域名服务器  dig -t ns    +   网址 使用工具 fierce 判断主机上存活的其他域名服务器 ...

  3. CSS3 background-image背景图片相关介绍

    这里将会介绍如何通过background-image设置背景图片,以及背景图片的平铺.拉伸.偏移.设置大小等操作. 1. 背景图片样式分类 CSS中设置元素背景图片及其背景图片样式的属性主要以下几个: ...

  4. MySQL高级知识- MySQL的架构介绍

    [TOC] 1.MySQL 简介 概述 MySQL是一个关系型数据库管理系统,由瑞典MySQL AB公司开发,目前属于Oracle公司. MySQL是一种关联数据库管理系统,将数据保存在不同的表中,而 ...

  5. Windows Server 2012 NIC Teaming介绍及注意事项

    Windows Server 2012 NIC Teaming介绍及注意事项 转载自:http://www.it165.net/os/html/201303/4799.html Windows Ser ...

  6. Linux下服务器端开发流程及相关工具介绍(C++)

    去年刚毕业来公司后,做为新人,发现很多东西都没有文档,各种工具和地址都是口口相传的,而且很多时候都是不知道有哪些工具可以使用,所以当时就想把自己接触到的这些东西记录下来,为后来者提供参考,相当于一个路 ...

  7. JavaScript var关键字、变量的状态、异常处理、命名规范等介绍

    本篇主要介绍var关键字.变量的undefined和null状态.异常处理.命名规范. 目录 1. var 关键字:介绍var关键字的使用. 2. 变量的状态:介绍变量的未定义.已定义未赋值.已定义已 ...

  8. HTML DOM 介绍

    本篇主要介绍DOM内容.DOM 节点.节点属性以及获取HTML元素的方法. 目录 1. 介绍 DOM:介绍DOM,以及对DOM分类和功能的说明. 2. DOM 节点:介绍DOM节点分类和节点层次. 3 ...

  9. HTML 事件(一) 事件的介绍

    本篇主要介绍HTML中的事件知识:事件相关术语.DOM事件规范.事件对象. 其他事件文章 1. HTML 事件(一) 事件的介绍 2. HTML 事件(二) 事件的注册与注销 3. HTML 事件(三 ...

随机推荐

  1. 【洛谷】【lca+树上差分】P3258 [JLOI2014]松鼠的新家

    [题目描述:] 松鼠的新家是一棵树,前几天刚刚装修了新家,新家有n(2 ≤ n ≤ 300000)个房间,并且有n-1根树枝连接,每个房间都可以相互到达,且俩个房间之间的路线都是唯一的.天哪,他居然真 ...

  2. memcached/memcache安装

    memcached安装 查找memcached:        yum  search  memcached安装 memcached             yum  -y install memca ...

  3. 打开一个网站中的不同页面时,相同的js文件会被重复加载吗?

    作者:JasonYang链接:https://www.zhihu.com/question/41184156/answer/135195798来源:知乎著作权归作者所有.商业转载请联系作者获得授权,非 ...

  4. P3183 [HAOI2016]食物链

    题目描述 如图所示为某生态系统的食物网示意图,据图回答第1小题现在给你n个物种和m条能量流动关系,求其中的食物链条数.物种的名称为从1到n编号M条能量流动关系形如a1 b1a2 b2a3 b3.... ...

  5. Angular动态表单生成(八)

    动态表单生成之拖拽生成表单(下) 我们的动态表单,最终要实现的效果与Form.io的在线生成表单的效果类似,可以参考它的demo地址:https://codepen.io/travist/full/x ...

  6. 联想ERP项目实施案例分析(10):回到最初再反思IT价值

    联想ERP项目实施案例分析(10):回到最初再反思IT价值 投入上千万(未来每年的维护费也非常高),投入一年实施时间,高级副总裁亲自挂帅,各级业务部门管理者亲自负责.骨干业务人员充当区域IT实施者/推 ...

  7. mysql索引和外键

    innodb外键: 1.CASCADE:从父表删除或更新会自动删除或更新子表中匹配的行 2.SET NULL:从父表删除或更新行,会设置子表中的外键列为NULL,但必须保证子表列没有指定NOT NUL ...

  8. CTF-i春秋网鼎杯第一场misc部分writeup

    CTF-i春秋网鼎杯第一场misc部分writeup 最近因为工作原因报名了网鼎杯,被虐了几天后方知自己还是太年轻!分享一下自己的解题经验吧 minified 题目: 一张花屏,png的图片,老方法, ...

  9. Linux下onvif客户端获取ipc摄像头 GetStreamUri:rtsp地址(h264、h265)

    GetStreamUri:rtsp地址 鉴权:但是在使用这个接口之前是需要鉴权的.ONVIF协议规定,部分接口需要鉴权,部分接口不需要鉴权,在调用需要鉴权的接口时不使用鉴权,会导致接口调用失败.实现鉴 ...

  10. 用C挑战无准备写2048

    下午在刷题过程中,忽然想写2048了,以弥补以前写的那个千多行的,所以简单思考了一下准备采取的数据结构就开始了,本以为一个小时能搞定,结果后面改bug还是多花了些时间.因为在医院,所以声音不敢太大,如 ...