skipfish工具它是一款Web应用程序扫描程序;
用法:
skipfish [options ...] -W wordlist -o output_dir start_url [start_url2 ...]
skipfish [选项 ...] -W 词表 -o 输出目录 开始url [开始url2 ...]
选项:
验证和访问选项:
-A user:pass - 使用指定的HTTP身份验证凭据
-F host = IP - 假装'host'解析为'IP'
-C name = val - 将自定义Cookie附加到所有请求
-H name = val - 将自定义HTTP标头附加到所有请求
-b(i | f | p) - 使用与MSIE / Firefox / iPhone一致的标题
-N - 不接受任何新的cookies
--auth-form url - 表单认证URL
--auth-user user - 表单认证用户
--auth-pass pass - 通行证验证密码
--auth-verify-url - 会话检测的URL
抓取范围选项:
-d max_depth - 最大爬网树深度(16)
-c max_child - 每个节点索引的最大子对象(512)
-x max_desc - 每个分支索引的最大后代(8192)
-r r_limit - 发送请求的最大总数(100000000)
-p crawl% - 节点和链接爬网概率(100%)
-q hex - 用给定种子重复概率扫描
-I string - 仅跟踪匹配'string'的URL
-X string - 排除匹配'string'的URL
-K string - 不要将名为'string'的模糊参数
-D domain - 抓取跨站点链接到另一个域
-B domain - 信任,但不要爬网,另一个域
-Z -不要下降到5xx位置
-O - 不提交任何表格
-P - 不解析HTML等,以找到新的链接
报告选项:
-o dir - 将输出写入指定的目录(必需)
-M - 关于混合内容/非SSL密码的日志警告
-E - 记录所有HTTP / 1.0 / HTTP / 1.1缓存意图不匹配
-U - 记录所有外部URL和电子邮件
-Q - 完全抑制报表中的重复节点
-u - 安静,禁用实时进度统计
-v - 启用运行时记录(到stderr)
词典管理选项:
-W wordlist - 使用指定的read-write wordlist(必填)
-S wordlist - 加载一个补充的只读单词列表
-L - 不要自动学习网站的新关键字
-Y - 不要在目录中强制扩展
-R age - 清除字词超过“年龄”扫描
-T name = val - 添加新的表单自动填充规则
-G max_guess - 要保留的关键字猜测的最大数量(256)
-z sigfile - 从此文件加载签名
性能设置:
-g max_conn - 最大同时TCP连接,全局(40)
-m host_conn - 最大同时连接,每个目标IP(10)
-f max_fail - 连续HTTP错误的最大数量(100)
-t req_tmout - 总请求响应超时(20秒)
-w rw_tmout - 个别网络I / O超时(10秒)
-i idle_tmout - 空闲HTTP连接超时(10秒)
-s s_limit - 响应大小限制(400000 B)
-e - 不要保留二进制报告
其他设置:
-l max_req - 每秒最大请求数(0.000000)
-k duration - 给定持续时间后停止扫描h:m:s
--config file - 加载指定的配置文件
示例:
1、执行扫描代码
- skipfish -W /home/test.txt -o /home/fujieace https://www.fujieace.com
2、出现如下提示:
欢迎来到skip鱼。 这里有一些有用的提示:
1)要随时中止扫描,请按Ctrl-C。 部分报告将被写入到指定的位置。 要查看当前扫描的URL的列表,您可以在扫描过程中随时按空格键。
2)观看主屏幕上显示的号码请求数。 如果这个数字下降到100-200以下,扫描可能需要很长时间。
3)扫描仪不自动限制扫描范围; 在复杂的网站上,你可能需要指定要排除的位置,或限制强力步骤。
4)扫描仪每月有几个新版本。 如果你遇到麻烦,先检查一个较新的版本,让作者知道下。
更多信息:http://code.google.com/p/skipfish/wiki/KnownIssues
3、扫描结果截图:
skipfish效果与评价:
因为很多的选项我没有全部给大家做一个具体测试,总体来说还是很不错的,虽然说https也可以扫描,关于对https扫描的结果我也没有全部看,因为它的扫描结果都生成在本地的,大家可以去仔细的看一下。
在线视频地址:
优酷:http://v.youku.com/v_show/id_XMzEyMDc4Njc0MA==.html
腾讯:https://v.qq.com/x/page/t0567htbmj8.html