Web安全—Web漏扫工具NetSparker安装与使用

本文仅用于安全学习使用！切勿非法用途。

一、NetSparker概述

Netsparker 是一款综合型的 web 应用安全漏洞扫描工具，它分为专业版和免费版，免费版的功能也比较强大。Netsparker
与其他综合性的 web 应用安全扫描工具相比的一个特点是它能够更好的检测 SQL注入 和 XSS
类型的安全漏洞。Netsparker能识别的Web应用漏洞包括SQL注入、XSS、命令注入、本地文件包含和任意文件读取、远程文件包含、框架注入、内部路径信息泄露等。
与其他漏扫工具不同的是，由于Netsparker执行多次测试以确认任何被识别的漏洞，所以Netsparker具有相当低的误报率。

二、NetSparker使用

• 开始扫描
  双击打开Netsparker的exe程序，或点击左上角的“New”，输入要扫描的URL，点击“Start Scan”；
  

• 扫描进度
  扫描过程中，可在最下方或Progress看到扫描的进度
  

• 用户界面
  扫描完成后，用户界面各功能如下图所示。
  

• 扫描登录后的页面
  新建扫描任务，输入URL。选择左侧“Authentication”–>“Form”，输入登录页URL以及用户名密码，可以使用“Verify Login & Logout”按钮确认是否能正常登录和退出，填写完成后，点击“Start Scan”开始扫描，就可以扫描到登录后的页面了。
  

• 导出扫描报告
  点击“Reporting”–>“Detailed Scan Report”，导出详细的扫描报告，可以选择html或pdf格式。