WebCruiser Web安全扫描工具用户指导
目录
1.软件简介 (2)
2.主要功能 (3)
2.1.POST数据重放 (3)
2.2.多功能Web浏览器 (5)
2.2.1.POST Web浏览器 (5)
2.2.2.Cookie Web浏览器 (7)
2.3.自动填表 (9)
2.4.漏洞扫描器 (10)
2.5.SQL注入 (12)
2.5.1.POST SQL注入 (12)
2.5.2.Cookie SQL注入Demo (14)
2.5.3.跨站SQL注入 (17)
2.6.跨站脚本 (17)
2.7.XPath 注入 (19)
2.8.报告 (20)
2.9.绕过字符串过滤进行注入 (22)
3.订单/注册 (24)
4.FAQ (24)
V2.0 by sec4app sec4app
1. 软件简介
WebCruiser - Web安全扫描工具
xml实体解析xpath注入
WebCruiser - Web安全扫描工具, 一个小巧但功能不凡的Web应用漏洞扫描器,能够对整个网站进行漏洞扫描,并能够对发现的漏洞(SQL注入,跨站脚本,XPath注入等)进行验证;它也可以单独进行漏洞验证,作为SQL注入工具、XPath注入工具、跨站检测工具使用。
运行平台:Windows with .Net FrameWork 2.0或以上。
功能简介:
* 网站爬虫(目录及文件);
* 漏洞扫描(SQL注入,跨站脚本,XPath注入);
* 漏洞验证(SQL注入,跨站脚本,XPath注入);
* SQL Server明文/字段回显/盲注;
* MySQL字段回显/盲注;
* Oracle字段回显/盲注/跨站注入;
* DB2字段回显/盲注;
* Access字段回显/盲注;
* POST数据修改与重放;
* 管理入口查;
* GET/Post/Cookie 注入;
* 搜索型注入延时;
* 自动从自带浏览器获取Cookie进行认证;
* 自动判断数据库类型;
* 自动获取关键词;
* 多线程;
* 高级:代理、敏感词替换/过滤;
* 报告;
免责声明:
* 使用该软件的扫描功能必须获取Web应用所有者的授权;
* 扫描过程中,软件将尝试访问每个链接,以Get/POST等方式提交各种数据,可能造成数据添加、篡改、删除等异常,因此扫描前请做好备份;
* 使用此软件您需自行承担风险。
E-mail: zhyale#gmail
sec4app
2. 主要功能
2.1. POST数据重放
WebCruiser能够自动捕获POST数据,并能够进行修改和重放。
现在,让我们登录一个测试应用:
切换到"Resend"标签页,可以看到刚才提交的数据已被捕获并自动填充在下面的POST数据
文本框中:
现在可以修改POST数据,我们先尝试一下利用这个功能进行SQL注入:修改username的值为admin' and '1'='1 ,点击Resend按钮提交,
继续修改username 值为admin' and '1'='2
两次提交获得的结果不同(第一次返回正常记录,第二次无记录返回),意味着该应用存在SQL注入漏洞。
2.2. 多功能Web浏览器
2.2.1. POST Web浏览器
点击地址栏右边的Request方式下拉列表,切换到POST方式,输入URL和待POST提交的数据,回车:

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。