WebVulScan - Web应用程序漏洞扫描程序

　　WebVulScan - Web应用程序漏洞扫描程序

　　SSL证书不可信

　　未经验证的重定向

　　它需要以下内容：

　　一个能够运行PHP Web应用程序（如Apache）的Web服务器。

　　MySQL的。

　　PHP。

　　如何部署WebVulScan

　　首先，下载WebVulScan，并将包含源代码的文件夹放入Web服务器要在您的域中提供的文件夹中。在Apache中，这是“ htdocs ”文件夹。

　　然后，使用浏览器请求“ localhost / webvulscan_vx.xx ”，其中“ webvulscan_vx.xx ”是包含源代码的文件夹，您将被带到Web应用程序漏洞扫描器的主页。

　　现在，将包含在源代码文件夹中的名为“ webvulscan.sql ” 的数据库导入到MySQL数据库中。

　　注意：扫描程序正在使用的数据库凭证是没有密码的“ root ”用户。

　　如果你想改变它，可以在connectToDb（）函数的“ webvulscan_vx.xx / scanner / functions / databaseFunctions.php ”中进行编辑。传递给mysqli构造函数的第二个和第三个参数是MySQL数据库用户的用户名和密码。例如“ 根 ”和“”。

　　对于您在connectToDb（）函数中使用的任何用户，您必须确保数据库中存在相应的数据库用户，并且他们有足够的权限从/向webvulscan数据库读取/写入。

　　如果您在Linux上运行此操作，则必须确保应用程序有权写入日志文件夹和报告文件夹。

　　这可以使用“ chmod ”命令完成。

　　使用终端，cd（更改目录）到“ crawler ”文件夹并输入“ sudo chmod -R 777 logs / ”。

　　然后cd到“ scanner ”文件夹并输入“ sudo chmod -R 777 logs / ”。

　　另外，在扫描仪文件夹中输入“ sudo chmod -R 777 reports / ”。

　　如果用户要通过电子邮件接收PDF报告，PHP的mail（）函数必须能够发送电子邮件。如果您的网络服务器上没有设置电子邮件功能，则此步骤将指导您如何通过Gmail帐户路由电子邮件。这不是基本要求，因为用户可以使用扫描历史记录功能查看和下载PDF报告。

　　设置电子邮件服务器可能非常复杂且耗时，因此更简单的解决方案就是使用Gmail。Web应用程序可以使用Gmail帐户发送电子邮件。

　　访问并创建一个帐户。然后，该Web应用程序的用户将从该电子邮件地址接收扫描报告。记下您的电子邮件地址和密码。

　　现在，必须安装并配置具有TLS支持的“ sendmail ” 应用程序，才能通过Gmail帐户路由外发电子邮件。sendmail zip文件可以在这里下载：http : //.au/sendmail/sendmail.zip

　　一旦安装了sendmail，请打开sendmail.ini文件。您需要将设置更改为以下内容：

　　smtp_server =

　　SMTP_PORT = 587

　　smtp_ssl =汽车

　　error_logfile = error.log中

　　auth_username=

　　AUTH_PASSWORD =你的密码

　　pop3_server =

　　pop3_username =

　　pop3_password =

　　force_sender =

　　force_recipient =

　　主机名=

　　所有其他设置应默认使用分号注释。

　　现在用文本编辑器打开文件“ php.ini ”文件并编辑以下内容：

　　在“[邮件功能]”部分下，除了“ sendmail_path ”和“ mail.add_x_header ” 之外，使用分号使该部分注释掉所有内容。

　　因此，您可能不得不注释“ SMTP = ... ”和“ smtp_port = ... ”，您应该取消注释“ sendmail_path = ... ”。

　　设置“ sendmail_path ”等于你sendmail.exe文件的位置（例如“\” C：\ XAMPP \ sendmail的\ sendmail.exe \“-t”），如果尚未设置为。

　　如果“ mail.add_x_header ”尚未设置为“关”，则将其设置为关闭。

　　保存php.ini

　　重新启动Web服务器。

　　您现在应该可以使用PHP的邮件功能发送电子邮件。

　　其他PHP设置也需要通过编辑php.ini文件进行配置。

　　Memory_limit设置为128M，如果您同时运行多个扫描，则可能需要将其更改为更高的值。

　　您需要启用“ curl ”和“ openssl ”扩展。在扩展部分下，确保“extension = php_curl.dll ”和“ extension = php_openssl.dll ”在那里，并且没有被注释掉。如果他们不在那里，请添加它们。如果他们在那里，并在他们面前用分号注释掉，请取出分号以取消注释。

　　现在重新启动Web服务器。

　　扫描仪现在应该可以使用了。以下是如何使用它：

　　通过选择注册选项卡并输入用户的详细信息，访问扫描仪并注册用户。

　　通过选择登录选项卡并输入电子邮件地址和密码作为用户登录。

　　要抓取网站并显示属于该网站的所有网址，请选择抓取工具选项卡，输入要抓取的网址并点击“ 开始抓取 ”。

　　要扫描网站，请选择扫描仪选项卡，输入要扫描的URL并点击“ 开始扫描 ”。

　　在开始扫描之前，如果您希望禁用一些漏洞测试，请选择选项链接并取消选中您希望禁用的任何漏洞。所有漏洞测试都默认启用。

　　下载地址：

　　仅供于学习研究使用，不得非法使用，如非法操作，责任自行承担