w3afでDVWAをスキャンする-セキュリティが低いとSQLiを検出できない
私はDVWA(気の弱い脆弱なWebアプリケーション)とw3afをいじっています。私はw3afでDVWAをスキャンしていて、spiderManプロキシとhttp構成を使用して認証資格情報をセットアップし、DVWAのログイン画面を通過しましたが、w3afはまだSQLインジェクションをどこにも見つけていません(これは保証されています)。 。
オンラインでいくつかの漠然としたチュートリアルが些細なことを示しているのを見てきましたが、セットアップをいくつかの方法で調整しても、まだSQLiを検出するのを見ていません。
なぜこれが問題になるのかについて誰かが提案やアイデアを持っていますか?
前もって感謝します!
ログアウトリンクをスパイダーするにはw3af notを設定する必要があります。
w3afはひどい脆弱性スキャナーであり、一般に非常に原始的な攻撃プラットフォームです。 WAFバイパスの1つを移植しようとしましたが、うまく設計されていないため、移植できませんでした。
Wapiti または Skipfish を使用すると、より良い結果が得られます。自動利用の場合 sqlmap は使用するツールです。 Sqlmapは素晴らしいツールです。 w3afよりもはるかに優れたWAFバイパスのサポートがあり、幅広いデータベースの真実性をサポートしています。 sqlmapは、筆記テストの欠陥を活用するために使用するツールです。
非常に安全でない実際のアプリケーションをテストしたい場合は、Vulnerable_blogとVulnerable_shopがダウンロードされた here をダウンロードします。