nessus导入cookie进行web应用安全扫描

author author     2022-08-07     205

关键词:

在不导入Cookie使用Nessus进行扫描的时候,扫描的结果是比较简单的,很多深层的问题无法被扫描出来。

需要我们手动导入Cookie,带着Cookie的状态扫描的结果会更详细更深入,以下是操作步骤:

在网站登录状态下,在浏览器地址栏输入document.cookie将光标移至行首手动输入javascript:
完整格式如下:

1
javascript:document.cookie

技术分享

回车后可查看到Cookie信息,如下图:

技术分享

访问 http://www.crdx.org/misc/cookies 进行Cookie格式转换,如下图:

输入目标地址域名,将刚才复制的信息粘贴至Input栏,点击Generate生成标准格式的Cookie信息。

技术分享

将生成的Cookie信息保存到文本文件中保存为任意文件名。

技术分享

在Nessus扫描配置中的认证方法项目里选择HTTP Cookies import,点击下面的Add file并导入刚才保存的文本文件。

技术分享

此时再扫描就是带着Cookie的状态了。

互联网企业安全高级指南读书笔记之漏洞扫描

...序版本信息弱口令扫描常见支持弱口令扫描功能的扫描器Nessusx-scanh-scanHydra系统及应用服务漏洞扫描常见的系统及应用服务漏洞扫描器有Nessus以及开源的OpenVAS,服务器数量巨大时,需要部署多台Nessus服务器以集群模式进... 查看详情

漏洞发现系统&pocassist&nessus&nmap(代码片段)

一、Awvs利用cookie&HTTP头深入扫描1.带入cookie扫描直接打开awvs进行扫描设置把cookie导入到这里就行2.带入HTTP头扫描二、pocassist自定义管理POC-特定点pocassist是一个Golang编写的全新开源漏洞测试框架。启动:pocassist_windows_amd64.ex... 查看详情

使用nessus进行漏洞扫描的过程

...掌握和运用一门漏洞扫描的工具也是行走江湖的必备项,Nessus就是漏洞扫描的强力武器。nessus为一款当下比较流行的系统弱点扫描与分析软件,他的优点是操作简单(配置几乎全web化),而且页面精美、扫描项广泛;缺点就是目... 查看详情

windows操作系统上安装破解nessus

1、Nessus简介  Nessus是一款功能强大而又易于使用的远程安全扫描器,它不仅免费而且更新极快。安全扫描器的功能是对指定网络进行安全检查,找出该网络是否存在安全漏洞。该系统被设计为client/sever模式,服务器端负责进... 查看详情

web漏洞扫描工具都有哪些

...涵盖了很多统计功能和漏洞的详细信息。2、OpenVAS:类似Nessus的综合型漏洞扫描器,可以用来识别远程主机、Web应用存在的各种漏洞,它使用NVT脚本对剁成远程系统的安全问题进行检测。3、WebScarab:可以分析使用HTTP和HTTPS协议进... 查看详情

网络安全nessus工具安装激活教程,三分钟手把手教会(代码片段)

Nessus工具介绍Nessus号称是世界上最流行的漏洞扫描程序,而且它开源,全世界有超过75000个组织在使用它。该工具提供完整的电脑漏洞扫描服务,并随时更新其漏洞数据库。Nessus不同于传统的漏洞扫描软件,Nessus... 查看详情

常见的安全扫描漏洞的工具漏洞分类及处理(代码片段)

...的Web服务器扫描程序,它可以对Web服务器的多种项目进行全面的测试。其扫描项目和插件经常更新并且可以自动更新。Nikto可以在尽可能短的周期内测试你的Web服务器,这在其日志文件中相当明显。不过,如果你想试... 查看详情

2020-01-10

今日所学1.几个大型扫描器NessusNessus是一款系统漏洞扫描与分析软件。由1998年RenaudDeraison展开的一项名为"Nessus"的计划,经过了数年的发展,包括CERT与SANS等著名的网络安全相关机构皆认同此工具软件的功能与可用性。之... 查看详情

appscan发现的sql漏洞怎么利用

...开源的Web服务器扫描程序,它可以对Web服务器的多种项目进行全面的测试。其扫描项目和插件经常更新并且可以自动更新。Nikto可以在尽可能短的周期内测试你的Web服务器,这在其日志文件中相当明显。不过,如果你想试验一下... 查看详情

nessus漏洞扫描教程之配置nessus

Nessus漏洞扫描教程之配置Nessus配置Nessus当安装成功Nessus工具后。就可以使用该工具实施漏洞扫描。为了使用户更好的使用该工具,将介绍一下该工具的相关设置。如服务的启动、软件更新、用户管理等。本节将对Nessus服务配置进... 查看详情

tornado之初学者(代码片段)

...户的信息就得不到安全的保障,所以应该对用户的cookies进行保护。Tornado的安全cookies可以对cookies签名进行安全加密,已检 查看详情

9个问题浅谈自动化测试与测试用例的编写

...一些常用的测试工具、80%都是我们在用的。  (1)弱口令Nessus\\X-scan\\h-scan\\hydra  (2)ACL访问控制列表暴露在外网的IP和端口、低版本应用、nmap扫描+Masscsn  (3)系统及应用服务器扫描Nessus\\openVas  (4)web漏洞扫描AW 查看详情

安全牛学习笔记openvas+nessus

1.nmap弱点扫描400+扫描脚本 目录/usr/share/nmap/scripts/script.db实例 nmap-p445--script=smb-enum-shares.nse--script-args=smbuser=admin,smbpassword=pass1.1.1.1 nmap-sU-sS--script=sm 查看详情

漏洞扫描awvs+nessus(docker版)

参考技术A转自:https://blog.lfoder.cn/2020/06/04/漏洞扫描-AWVS-Nessus-Docker版/Docker源长期及时更新,感谢雷石安全实验室。在docker仓库已经打包好2个扫描器,分别是awvs13和nessus,供广大兄弟们使用。 查看详情

谷歌web站点安全扫描软件skipfish安装配置使用

...性侦察工具。它准备了一个互动为目标的网站的站点地图进行一个递归爬网和基于字典的探头。然后,将得到的地图是带注释的与许多活性(但希望非破坏性的)安全检查的输出。最终报告工具生成的是,作为一个专业的网络应... 查看详情

安全测试&漏洞扫描

...此安全测试也分为以下三类:1.端口扫描:对系统、端口进行扫描,如常用tcp、udp端口,如80、5296、3306、8088....,举例软件rapid7,市面上也有其他厂家进行端口扫描。2.静态扫描:白盒,对项目代码进行扫描,举例软件fortify,此... 查看详情

docker实践:部署漏洞扫描awvs+nessus(代码片段)

转自:https://blog.lfoder.cn/2020/06/04/漏洞扫描-AWVS-Nessus-Docker版/Docker源长期及时更新,感谢雷石安全实验室。在docker仓库已经打包好2个扫描器,分别是awvs13和nessus,供广大兄弟们使用。 docker命令 #拉取镜像dockerpullleishianquan/aw... 查看详情

漏洞扫描器和nessus分析

文章目录NESSUS基本原理及其关键技术分析简单分类和扫描引擎技术网络漏洞扫描系统的5个构成工作原理Nessus源代码分析参考NESSUS基本原理及其关键技术分析简单分类和扫描引擎技术  漏洞扫描技术可分为两类:主机漏洞扫... 查看详情