0x01 介绍
Netsparker是一个便于使用的Web应用漏洞扫描工具,可以爬行、攻击并识别各种Web应用中存在的漏洞。能识别的Web应用漏洞包括SQL注入、XSS(跨网站指令码)、命令注入、本地文件包含和任意文件读取、远程文件包含、框架注入、内部路径信息披露等。
不同于其它漏洞扫描工具,Netsparker具有相当低的误报率,因为Netsparker执行多次测试以确认任何被识别的漏洞。它还有一个JavaScript引擎,可以解析、执行并分析Web应用中使用的JavaScript和VBScript输出。因此,Netsparker能成功爬行并充分了解网站(使用不同的AJAX框架、自定义代码或知名的框架如jQuery)。
0x02 下载
下载:链接: https://pan.baidu.com/s/1vkFGeQ-Bcf-_PsT5008nFw 提取码: i5hc
安装:安装Netsparker必须安装.net 4.7.2及以上框架
Netsparker支持的安全测试包括
- SQL注入
- XSS(跨站点脚本)
- DOM XSS
- 命令注入
- 盲命令注入
- 本地文件包含和任意文件读取
- 远程文件包含
- 远程代码注入/评估
- CRLF / HTTP标头注入/响应拆分
- 打开重定向
- 帧注入
- 具有管理员权限的数据库用户
- 漏洞 - 数据库(推断的漏洞)
- ViewState未签名
- ViewState未加密
- 网络后门
- TRACE / TRACK方法支持已启用
- 禁用XSS保护
- ASP.NET调试已启用
- ASP.NET跟踪已启用
- 可访问的备份文件
- 可访问的Apache Server-Status和Apache Server-Info页面
- 可访问的隐藏资源
- 易受攻击的Crossdomain.xml文件
- 易受攻击的Robots.txt文件
- 易受攻击的Google Sitemap
- 应用程序源代码披露
- Silverlight客户端访问策略文件易受攻击
- CVS,GIT和SVN信息和源代码披露
- PHPInfo()页面可访问和PHPInfo()在其他页面中的公开
- 敏感文件可访问
- 重定向响应BODY太大
- 重定向响应BODY有两个响应
- 通过HTTP使用的不安全认证方案
- 密码通过HTTP传输
- 密码表格通过HTTP服务
- 通过暴力强制获得的身份验证
- 通过HTTP获得基本身份验证
- 弱证书
- 电子邮件地址披露
- 内部知识产权披露
- 目录列表
- 版本披露
- 内部路径披露
- 访问被拒绝的资源
- MS Office信息披露
- 自动完成启用
- MySQL用户名披露
- 默认页面安全性
- Cookie未标记为安全
- Cookie未标记为HTTPOnly
- 堆栈跟踪披露
- 编程错误消息披露
- 数据库错误消息披露