Web应用测试工具-Skipfish

Skipfish 是一个主动的Web应用程序安全测试工具
透过执行递归爬网和基於字典的探测

• 易於使用：支援多种框架和混合技术
• 具有自动学习功能、动态词表创建和表单自动完成功能
• 高质量、低误报、差异化安全检查，能够发现细微弱点

skipfish [ options ... ] -W wordlist -o output_dir start_url

skipfish -S /usr/share/skipfish/dictionaries/medium.wl -o <输出名称> <测试标的位置>

利用skipfish的字典档
/usr/share/skipfish/dictionaries/medium.wl

-o dir 将输出写入指定目录

预计本次将会送出154141个请求

任意键跳出画面後会持续开始进行扫描

实际扫描完成後结果如下：

结果index.html储存於一开始-o的位置

可选择以文件类型总览或弱点总览的方式查看

点开可以看到各个问题的详细资讯，包含网址、 HTTP 请求与回应。

有些弱点下方会有文字备注说明可以参考