浅谈漏洞扫描与工具
1.什么是框架漏洞
框架漏洞是指在应用程序开发过程中使用的开发框架(例如,Web应用程序框架,操作系统框架等)中存在的安全弱点或漏洞。这些框架通常提供了一些通用的功能和组件,以便开发人员能够更快速地构建应用程序。然而,这些框架也可能包含漏洞,导致应用程序容易受到攻击。 常见框架漏洞:
某web系统漏洞是指针对某一特定系统例如泛微OA,若依管理系统,各种通用CMS,这些具有通用性,甚至是开源的。同时也经常被挖掘漏洞,如果不及时更新补丁则容易收到攻击。 常见通用系统:致远OA 泛微OA 用友OA 若依管理系统 WordPress Discuz 宝塔 Druid ···
针对不同的框架一般有相对应的工具
2.漏洞扫描工具
常见的漏洞扫描工具,如afrog和fscan自动化扫描器。
2.1afrog
afrog 是一款性能卓越、快速稳定、PoC可定制的漏洞扫描(挖洞)工具,PoC涉及CVE、CNVD、默认口令、信息泄露、指纹识别、未授权访问、任意文件读取、命令执行等多种漏洞类型,帮助网络安全从业者快速验证并及时修复漏洞。
扫描单个目标 afrog.exe -t http://127.0.0.1
2.2Fscan
Fscan是一款内网综合扫描工具,方便一键自动化、全方位漏扫扫描。 支持主机存活探测、端口扫描、常见服务的爆破、ms17010、redis批量写公钥、计划任务反弹shell、读取win网卡信息、web指纹识别、web漏洞扫描、netbios探测、域控识别等功能。
简单用法: fscan.exe -h 192.168.1.1/24 (默认使用全部模块)
fscan.exe -h 192.168.1.1/16 (B段扫描)
一般使用fscan是在进入内网后,在靶机上传fscan后扫描C段,探测内网中的web服务数据库服务等,扩大我们的攻击范围,获取更多信息和数据。