Kali Linux - Web 渗透测试工具

在2016年，全球有大约3424971237+互联网用户。作为一个拥有大量用户的中心，我们肩负着确保他们安全的额外责任。互联网的绝大部分由网站或Web 应用程序组成。因此，为了防止这些 Web 应用程序被利用，必须对有效载荷和恶意软件进行新的测试，而 Kali Linux 为此提供了许多工具。

Kali Linux 拥有300 多种工具，其中许多工具对于Web 渗透测试非常有用。以下是 Kali Linux 中最常用的 Web 渗透测试工具的集合。

1. Burp Suite

Burp Suite 是最广泛使用的 Web 应用程序安全测试工具之一。它用作代理，因此浏览器通过代理的所有请求都会流经它。而且，由于请求会流经 Burp Suite，我们可以根据需要进行修改，这对于测试XSS或SQLi等漏洞以及任何其他与 Web 相关的问题非常有用。Burp Suite 社区版在 Kali Linux 中是免费的。不过，这款工具还有一个名为 Burp Suite Professional 的付费版本，它比 Burp Suite 社区版拥有更多的功能。

使用 Burp Suite

为了使用 Burp Suite，我们需要按照以下步骤进行操作

• 首先，我们必须打开终端并在终端中输入“burpsuite”。
• 然后，我们需要转到代理（proxy）选项卡并打开拦截器开关。
• 现在访问任何URL，我们将看到请求已被捕获。

2. Nikto

Nikto 是一款用Perl 语言编写的开源软件，它可以扫描 Web 服务器是否存在可能被利用并导致站点被攻陷的漏洞。它还可以检查1200 台服务器的过时版本信息，并检测200 多台服务器特定版本的问题。它有很多特性，其中一些在此描述。

• 完全支持SSL
• 查找子域
• 支持完整的HTTP代理
• 过时的组件报告
• 用户名猜测

为了使用“nikto”，我们必须在终端中输入“nikto”。

3. Maltego

Maltego 是一个平台，旨在传达并清晰地呈现一个组织拥有和运营的环境。Maltego 为网络和基于资源的实体提供了独特的视角，这是互联网上传递信息的聚合，无论是我们网络边缘路由器的当前配置还是其他任何信息，Maltego 都可以定位、聚合和可视化这些信息。它为用户提供了非凡、强大且被利用的信息。

Maltego 的用途

以下是 Maltego 的用途

• Maltego 帮助我们发现“隐藏的”
• 它通过直观地呈现搜索项之间的相互链接来帮助我们进行思考过程。
• 它用于收集所有与安全相关的信息。它将节省时间，并使我们能够更正确、更有效地工作。
• 它提供了更强大的搜索，提供更智能的结果。
• 我们使用此工具来展示单点故障的复杂性和严重性，以及基础设施内现有信任关系的状况。

如果我们想使用Maltego，我们必须转到应用程序菜单，然后选择“Maltego”工具来执行它。

4. SQL Map

SQLMap 是一个开源工具，我们可以使用它来自动化在网站参数上手动SQL 注入的过程。它可以自行检测和利用 SQL 注入参数，我们只需要提供正确的请求或 URL。它支持34 种数据库，包括MySQL、Oracle、PostgreSQL等。

使用 Sqlmap 工具

为了使用 sqlmap，我们需要按照以下步骤进行操作

• Kali Linux 预装了 sqlmap。
• 要使用此工具，只需在终端中输入以下命令

5. Whatweb

Whatweb 是“网站是什么”的缩写。它用于找出网站使用的技术，例如内容管理系统（CMS）、JavaScript 库等。它具有多种功能，其中一些如下所述。

• Web 应用程序使用内容管理系统来收集其所需的信息。
• 它有1700 多个插件，每个插件用于识别独特的东西。
• 获取附加到 Web 应用程序的嵌入式设备。
• 获取 Web 应用程序正在使用的Web 服务器详细信息。

为了运行whatweb，我们必须执行以下命令，并将 javatpoint.com 替换为您选择的域名。

6. Whois 查询

Whois 是一项数据库记录，用于跟踪在互联网上注册的所有域名。它具有多种功能，其中一些如下所述。

• 我们用它来识别商标侵权。
• 它甚至可用于追查欺诈域名的所有者。
• 我们用它来检查域名是否可用。
• 网络管理员使用它来识别和修复DNS或与域相关的问题。

为了使用whois查询，请在终端中输入以下命令。