黑客攻防技术宝典Web实战篇（二）工具篇

扫描工具、中间攻击工具、加密解密工具等。

1 TM

Thread Module

2 burpsuite

代理、中间攻击、repeatur、spider、暴力破解（intrude）、加密、解密、扫描器

3 peach

Fuzzing测试，API Fuzzing测试和协议Fuzzing测试。

4 DVWA

php写的漏洞学习的工具，可以运行起来测试.

安装教程：

1 直接下载WampServer，免去了需要安装apache/php/mysql的服务器软件的痛苦，一体集成，相当于安装了httpd、PHP、MySQL、php-mysql等应用或组件。

2 下载DVWA（http://www.dvwa.co.uk/）

3 要确保可以进入http://localhost/phpmyadmin或连接上MySQL数据库（正常情况都可以，如果不行，说明是二者密码不一致，只要设置相同密码就行了，默认密码为空）

4 解压缩DVWA安装包到www目录下,wampserver安装完会有www目录

5 在地址栏输入 http://localhost/DVWA-1.9/setup.php（DVWA-1.9为解压缩文件夹名，注意大小写）

6 进入setup界面，点击“Create/Reset Database”按钮时如果出现“Could not connect to the database - please check the config file.”的错误信息，那么请打开DVWA-1.0.8/config/config.inc.php文件，将下面这段内容$_DVWA[ 'db_password' ] = 'p@ssw0rd';中的密码部分替换成在步骤2中设置的MySQL root用户的密码（此处为空，直接把'p@ssw0rd'改为''就行了，即密码为空），再重新创建数据库即可。

7 进入链接 http://localhost/DVWA-1.9/login.php，默认的用户名和密码为“admin/password”，进入后将DVWA的安全等级修改为中或者低，只要不是高就行

8 大功告成！渗透试验开始吧，开始你的安全之路吧！

安装过程中的截图如下：

（1）WampServer的安装图片

（2 ） 安装WampServer成功后，浏览器输入127.0.0.1，端口默认80

点击phpmyadmin进入页面。

（3）进入phpmyadmin页面，可以看到后台的数据库等信息。

用户名为root，密码为空。

（4）进入dvwa-1.9目录进行安装mysql数据库。

从DVWA官网下载dvwa安装包，下载地址为http://www.dvwa.co.uk/。

将安装包解压缩放到C:/wamp/www目录。

（5）修改config.inc.php的数据库password后，即可点击create/reset database。

（6）输入密码admin/password后进入主页面。可以看到N多常见漏洞。

5 hdwiki

　　一个简单网站，也存在一些漏洞，供大家学习。

6 扫描工具集

6.1 APPscan

web扫描，SQL注入、XSS（反射型、持久型）、CSRF、XML注入、

6.2 AWVS

跟appScan一样

6.3 Nmap（Network Mapper）

用来进行配置加固，nmap是一个网络连接端扫描软件，扫描网络开放端口、操作系统类型、主机是否在线。

http://wenku.baidu.com/link?url=Q9cKUlB347--__gF0WJGKzQVfEUYAfO5uT7__BHEYs7123qtrz4nmRZxjqpL-_rFYFvoaXX3WpXR44iA0FQcpM6hxRlT5H114KOCxz1I46i

6.4 SecureCAT

6.5 Retina

6.6 Nessus

系统漏洞扫描ret与分析软件，远端系统安全扫描程序。

采用客户端、服务器结构。

扫描结果包括目标的脆弱点、怎样修补漏洞以防止黑客入侵及危险级别

6.7 NGS

a de ma web security

http://www.nxadmin.com/tools/675.html