Skipfish是一款主动的Web应用程序安全侦察工具。它通过执行递归爬取和基于字典的探测来为目标站点准备交互式站点地图。该工具生成的最终报告旨在作为专业Web应用程序安全评估的基础。
主要特征:
高速:纯C代码,高度优化的HTTP处理,最小的CPU占用空间 - 通过响应式目标轻松实现每秒2000个请求。
用法:
参数-o
表示将扫描的内容存储到该参数后面的文件内,如果目录不存在系统则会创建目录,然后开始扫描
参数-I(大写的I)
表示匹配URL中某个字符串进行扫描
参数-S
表示指定文件列表,后面跟字典表示用字典去扫描目标的隐藏文件
参数-D
表示跨站点爬另一个域
参数-K
表示不对制定的参数进行Fuzz测试
参数-l
每秒最大的请求数
参数-m
表示每个ip最大并发连接数
skipfish -o test1 --auth-user admin --auth-pass 123456 http://192.168.8.149:8090/#/login
