WVS軟件：

WVS(Web Vulnerability Scanner)是一個自動化的Web應用程序安全測試工具，它可以掃描任何可通過Web瀏覽器訪問的和遵循HTTP/HTTPS規(guī)則的Web站點和Web應用程序。適用于任何中小型和大型企業(yè)的內聯(lián)網(wǎng)、外延網(wǎng)和面向客戶、雇員、廠商和其它人員的Web網(wǎng)站。

工作方式：

1. 它將會掃描整個網(wǎng)站，它通過跟蹤站點上的所有鏈接和robots.txt（如果有的話）而實現(xiàn)掃描。然后WVS就會映射出站點的結構并顯示每個文件的細節(jié)信息。
2. 在上述的發(fā)現(xiàn)階段或掃描過程之后，WVS就會自動地對所發(fā)現(xiàn)的每一個頁面發(fā)動一系列的漏洞攻擊，這實質上是模擬一個黑客的攻擊過程。WVS分析每一個頁面中可以輸入數(shù)據(jù)的地方，進而嘗試所有的輸入組合。這是一個自動掃描階段。
3. 在它發(fā)現(xiàn)漏洞之后，WVS就會在“Alerts Node（警告節(jié)點）”中報告這些漏洞。每一個警告都包含著漏洞信息和如何修復漏洞的建議。
4. 在一次掃描完成之后，它會將結果保存為文件以備日后分析以及與以前的掃描相比較。使用報告工具，就可以創(chuàng)建一個專業(yè)的報告來總結這次掃描。

Burp Suite軟件：

Burp Suite 是用于攻擊web 應用程序的集成平臺，包含了許多工具。Burp Suite為這些工具設計了許多接口，以加快攻擊應用程序的過程。所有工具都共享一個請求，并能處理對應的HTTP 消息、持久性、認證、代理、日志、警報。

工具箱介紹：

1. Proxy——是一個攔截HTTP/S的代理服務器，作為一個在瀏覽器和目標應用程序之間的中間人，允許你攔截，查看，修改在兩個方向上的原始數(shù)據(jù)流。
2. Spider——是一個應用智能感應的網(wǎng)絡爬蟲，它能完整的枚舉應用程序的內容和功能。
3. Scanner[僅限專業(yè)版]——是一個高級的工具，執(zhí)行后，它能自動地發(fā)現(xiàn)web 應用程序的安全漏洞。
4. Intruder——是一個定制的高度可配置的工具，對web應用程序進行自動化攻擊，如：枚舉標識符，收集有用的數(shù)據(jù)，以及使用fuzzing 技術探測常規(guī)漏洞。
5. Repeater——是一個靠手動操作來補發(fā)單獨的HTTP 請求，并分析應用程序響應的工具。
6. Sequencer——是一個用來分析那些不可預知的應用程序會話令牌和重要數(shù)據(jù)項的隨機性的工具。
7. Decoder——是一個進行手動執(zhí)行或對應用程序數(shù)據(jù)者智能解碼編碼的工具。
8. Comparer——是一個實用的工具，通常是通過一些相關的請求和響應得到兩項數(shù)據(jù)的一個可視化的“差異”。

排錯一：Brup Suite軟件代開錯誤。

排錯思路：

1. 查看軟件日志；
2. 檢索錯誤提示；
3. 檢查開發(fā)環(huán)境；

原因：主機Java版本較高。

解決方案：

更換Java版本，更換為jdk1.8版本；

?

排錯二：Burp Suite軟件的“Actively scan this host”功能無效。

排錯思路：

1. 檢查軟件是否安裝合適；
2. 檢查開發(fā)環(huán)境是否配置合適；

原因：Burp Suite軟件的使用版本不支持此功能。

解決方案：

激活Kali系統(tǒng)中的BurpSuite軟件；

1、下載Burp Suite Pro的安裝包和注冊機

下載鏈接：https://pan.baidu.com/s/1TTPVEhYSV25rp4VZ_0Z1AA

提取碼：at2k

2、解壓下載的burpsuite_pro_v1.7.37.rar壓縮包，然后進入解壓后的目錄burpsuite_pro_v1.7.37使用命令“java -jar burp-loder-keygen.jar”運行keygen,修改license text；

3、運行Keygen，復制license，然后點擊run,彈出drup界面;

4、在彈出的durp界面點擊“I Accept”，然后將復制的license粘貼到Enter license key,點擊next；

5、點擊burp界面的“copy request” 粘貼到注冊機對應的Activation Request上，然后將Activation Response中的內容粘貼到durp的response中；