为了账号安全,请及时绑定邮箱和手机立即绑定

QingScan漏洞扫描器初体验

标签:
安全

一、背景

最近在几个微信群里看到好些人在讨论这个QingScan扫描器,听他们聊得火热我也去GitHub上看了看,GitHub的介绍说集合了各类安全工具,只需要输入一个URL,便会自动调用近30款安全工具对目标进行扫描,于是我下载了一个试试效果咋样

项目地址:https://github.com/78778443/QingScan

在

二、 开启插件

按照提示安装完成后,用浏览器访问http://ip:8000/ ,默认账号密码test1 123456

进入系统设置→守护进程管理,进入后打开本次想要使用的插件,听说这个功能是因为插件太多了,全开启电脑CPU会非常高,我开启了我所需要的一些插件。

开启所需要的插件,接下来去添加URL让它自动扫描

三、 添加扫描

点击黑盒扫描→添加,输入“应用名称,URL地址”,需要登陆扫描的就是输入账号和密码,不需要则不用填,其他默认就好,点击提交,会自动进行扫描。

四、查看扫描结果

点击“查看详情”去查看漏洞详细信息,可以看到app信息、指纹识别、子域名等等…,
在
下图是项目的app信息、whatweb指纹识别、子域名、主机暴力破解、扫后台、SQL注入、vulmap漏洞,如下图所示:

4.1 nmap

点击信息收集→nmap列表,查询到了当前主机所开放了哪些端口以及对应的服务名称

点击信息收集→主机列表,主机列表会自动检测IP所在地址国家、省份

4.2 指纹识别

点击信息收集→whatweb列表,可以看到各个项目的指纹信息。

4.3 URL爬虫

点击黑盒扫描→URL列表,可以看见爬虫爬取到的url。

4.4 SQLMap

点击黑盒扫描→SqlMap列表,sqlmap会根据URL列表里的链接去扫描,将有漏洞的链接展示在下图。

4.5 Xray

点击黑盒扫描→Xray列表,可以看见Xray扫出来的漏洞。

四、总结

信息收集和黑盒扫描已经测试的差不多了,总体来说QingScan确实很方便,我只输入了URL,他会帮我去调用各种工具,这一点简直不要太爽,就像有人将他的渗透经验通过这种方式传递给你,有一说一,这个界面展示效果做的实在是不太好看。


作者:婷婷的橙子
日期:2021年12月12日

点击查看更多内容
TA 点赞

若觉得本文不错,就分享一下吧!

评论

作者其他优质文章

正在加载中
  • 推荐
  • 评论
  • 收藏
  • 共同学习,写下你的评论
感谢您的支持,我会继续努力的~
扫码打赏,你说多少就多少
赞赏金额会直接到老师账户
支付方式
打开微信扫一扫,即可进行扫码打赏哦
今天注册有机会得

100积分直接送

付费专栏免费学

大额优惠券免费领

立即参与 放弃机会
意见反馈 帮助中心 APP下载
官方微信

举报

0/150
提交
取消