web应用安全系列：用wvs实施漏洞扫描

《web应用安全系列：用wvs实施漏洞扫描》由会员上传分享，免费在线阅读，更多相关内容在应用文档-天天文库。

1、Web应用安全系列：用WVS实施漏洞扫描～教育资源库　　添加一个漏洞项目　　漏洞项目是Vulnerabilities扫描期间所需要的额外参数。漏洞项目保存在相关的Vulnerability之中，可以通过如下的步骤创建：　　1.在Vulnerability中你需要创建一个新漏洞参数的位置上右击，选择AddVulnerabilityitem。　　2.在ItemProperties（项目属性）中，定义属于此参数的项目名称（Name）和文件名（值）。　　3.单击漏洞编辑器窗口上部工具栏中的保存按钮。这样就会保存新的漏洞项目，它会被用于将来的测试变量。　　示例：创建一个可以搜索特定文件的

2、测试　　在本节中我们要展示一个创建新漏洞检查的基本过程。在本例中也就是要搜索一个叫做passiddot;Name（名称）：LookforaPassiddot;Description（描述）：此测试将扫描目标站点并查找一个称为passiddot;VulnXML：可以保留默认的文件名　　VulnXMLsupport：基于默认的VulnXML　　单击Add按钮创建新的漏洞。此漏洞会列示在下面的DirectoryChecks中。　　第二步：添加一个漏洞项目　　我们已经创建了测试，现在需要定义测试的参数。这是通过创建一个漏洞项目完成的。　　在此例中，我们需要创建一个漏洞参数，它包含着要搜

3、索的文件名（即pass。　　2.在项目属性部分，设定下面的内容：　　Name：Passiddot;Value:/Passoduleand1。　　3.在VulnXML部分，设定测试描述中下列字段的以下内容：　　Name:LookforPassiddot;Affects:文件　　Severity:High　　Alert:Success(i.e.alertisgeneratediffileisfound)　　Description:Searchforpassiddot;Impact:Containssensitiveinformation　　Remendation:Deletethe

4、file　　12下一页友情提醒：，特别！4.作为选择，在References选项卡中，设定iddot;Database：LinkTitle　　URL：FullURLtothereference　　5.在Applicable选项卡中，保留默认值，因为要独立于iddot;File变量是通过扫描程序为其所发现的每一个目录自动设置的。　　Test变量是从以前所创建的漏洞参数中重新检索得到的。在我们的例子中，Test变量会包含/Passiddot;Path变量值是通过组合$file$test的值而设置的。　　不过，因为我们已经创建了测试变量所涉及的漏洞项目，在此就没有必要改变了。　　7.

5、在Connection选项卡中，设置HTTP请求和此测试的成功/失败标准。在此例中既然没有必要做出任何特定的HTTP请求，可以保留Connection选项卡的默认值。　　第四步：保存测试并重新启动WVS　　8.单击保存按钮保存漏洞检查，关闭漏洞编辑器以及WVS。　　9.再次启动WVS，在Configuration中的ScanningProfiles上单击，检查新的漏洞是否已经添加到扫描配置文件中。　　10.为了在下次扫描中使新的测试可用，选中新测试左侧的复选框。　　11.如果测试确认了文件，它会在下次扫描期间显示在警告结点中。　　至此漏洞扫描完成。　　编辑推荐阅读：　　Web应

6、用安全系列:安装和配置WVS上一页12友情提醒：，特别！