网站指纹识别工具Whatweb的使用
目录
whatweb
whatweb 是kali中网站指纹识别的工具,使用Ruby语言开发。whatweb可识别web技术,包括内容管理系统(CMS)、博客平台、统计/分析包、JavaScript库,Web服务器和嵌入式设备等。它有超过900个插件,每个插件都能识别不同的东西。Whatweb还可以识别版本号,电子邮件地址、账户ID、Web框架模块,SQL错误等。
WhatWeb可以隐秘、快速、彻底或缓慢扫描。WhatWeb支持攻击级别来控制速度和可靠性之间的权衡。当在浏览器中访问网站时,该交易包含许多关于Web技术为该网站提供支持的提示。有时,单个网页访问包含足够的信息来识别网站,但如果没有,WhatWeb可以进一步询问网站。默认的攻击级别称为“被动”,速度最快,只需要一个网站的HTTP请求。这适用于扫描公共网站。在渗透测试中开发了更积极的模式。
用法: weatweb 域名
- -i 指定要扫描的文件
- -v 详细显示扫描的结果
- -a 指定运行级别
一些常见的Whatweb的扫描
常规扫描
whatweb 域名
批量扫描
我们可以通过将很多要扫描的网站域名写入文件内,然后扫描时指定该文件即可。
比如,我们现在在 root 目录下有 target.txt 文件,如下。# 号表示扫描时不扫描该域名
使用命令:whatweb -i /root/target.txt
详细回显扫描
whatweb -v 域名
扫描强度等级控制
whatweb -a 等级 域名 可以和-v参数结合使用
快速本地扫描(扫描内网的主机)
whatweb --no-errors -t 255 内网网段 可以和-a和-v参数结合使用
将扫描结果导出至文件内
whatweb www.baidu.com --log-xml=baidu.xml 将结果导入到baidu.xml文件中
其他格式导出文件同理:
- --log-brief=FILE 简要的记录,每个网站只记录一条返回信息
- --log-verbose=FILE 详细输出
- --log-xml=FILE 返回xml格式的日志
- --log-json=FILE 以json格式记录日志
- --log-json-verbose=FILE 记录详细的json日志
- --log-magictree=FILE xml的树形结构
注:1. Json 格式需要安装 json 依赖 sudo gem install json
2. Mongo 格式需要安装 mongo 依赖 sudo gem install mongo
最新文章
- PS特效精粹
- SQL Server中的“最大并行度”的配置建议
- tomcat 7+ 启动慢 熵池阻塞变慢详解
- 浅谈JavaScript中的变量、参数、作用域和作用域链
- 2015百度之星1002 查找有序序列(RMQ+主席树模板水过)
- NodeJS package.json
- JS 实现中英文翻译
- Office word excel电子表格在线编辑的实现方法
- mybatis的增删改查
- linu、C语言、计算机基础教程
- label标签的属性
- Android不规则瀑布流照片墙的实现+LruCache算法
- 简单的方式实现javascript 小数取整
- Chapter 1 Securing Your Server and Network(8):停止未使用的服务
- Java简单知识梳理
- kubernates使用kubeadm安装
- Visual Studio 2015 update 3各版本下载地址
- windows命令快捷启动应用-----window小技巧
- java中经常使用的快捷键
- MVC 基架不支持 Entity Framework 6 或更高版本 即 NuGet的几个小技巧