一、背景

最近在几个微信群里看到好些人在讨论这个QingScan扫描器,听他们聊得火热我也去GitHub上看了看,GitHub的介绍说集合了各类安全工具,只需要输入一个URL,便会自动调用近30款安全工具对目标进行扫描,于是我下载了一个试试效果咋样

项目地址:https://github.com/78778443/QingScan

二、 开启插件

按照提示安装完成后,用浏览器访问http://ip:8000/ ,默认账号密码test1 123456

进入系统设置→守护进程管理,进入后打开本次想要使用的插件,听说这个功能是因为插件太多了,全开启电脑CPU会非常高,我开启了我所需要的一些插件。

开启所需要的插件,接下来去添加URL让它自动扫描

三、 添加扫描

点击黑盒扫描→添加,输入“应用名称,URL地址”,需要登陆扫描的就是输入账号和密码,不需要则不用填,其他默认就好,点击提交,会自动进行扫描。

四、查看扫描结果

点击“查看详情”去查看漏洞详细信息,可以看到app信息、指纹识别、子域名等等…,

下图是项目的app信息、whatweb指纹识别、子域名、主机暴力破解、扫后台、SQL注入、vulmap漏洞,如下图所示:

4.1 nmap

点击信息收集→nmap列表,查询到了当前主机所开放了哪些端口以及对应的服务名称

点击信息收集→主机列表,主机列表会自动检测IP所在地址国家、省份

4.2 指纹识别

点击信息收集→whatweb列表,可以看到各个项目的指纹信息。

4.3 URL爬虫

点击黑盒扫描→URL列表,可以看见爬虫爬取到的url。

4.4 SQLMap

点击黑盒扫描→SqlMap列表,sqlmap会根据URL列表里的链接去扫描,将有漏洞的链接展示在下图。

4.5 Xray

点击黑盒扫描→Xray列表,可以看见Xray扫出来的漏洞。

四、总结

信息收集和黑盒扫描已经测试的差不多了,总体来说QingScan确实很方便,我只输入了URL,他会帮我去调用各种工具,这一点简直不要太爽,就像有人将他的渗透经验通过这种方式传递给你,有一说一,这个界面展示效果做的实在是不太好看。

作者:婷婷的橙子
日期:2021年12月12日

QingScan漏洞扫描器初体验相关推荐

  1. 哈啰顺风车初体验:安全漏洞仍存在 很难打到车

    出品:三言财经 作者:谢雨霖 王白聿 自去年发生有关乘客搭乘滴滴顺风车遇害案件后,顺风车安全问题成为大众关注的热点.滴滴一方面配合警方调查,另一方面也宣布于2018年8月27日全国范围内无限期下线顺风 ...

  2. 渗透测试php靶场,渗透测试靶场初体验

    声明本文仅供学习和研究,由于传播.利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,海青实验室及文章作者不承担任何责任. 安全狗海青实验室拥有此文章的修改和解释权,如欲转载 ...

  3. 有了漏洞扫描器,如何用好?一点不成熟的小总结

    有了漏洞扫描器,如何用好?一点不成熟的小总结 2017-02-09 18:09 程序设计 *本文原创作者:安惞,本文属FreeBuf原创奖励计划,未经许可禁止转载 昨天晚上做梦,梦见不知道在之前还是现 ...

  4. Dusk Network DayBreak测试网初体验

    1. 引言 Dusk系列博客有: Dusk network 生态图 rkyv(archive)--Dusk network赞助的ZKP研究项目 Dusk Network Daybreak上线前关键漏洞 ...

  5. 阿里聚安全Android应用漏洞扫描器解析:本地拒绝服务检测详解

    阿里聚安全Android应用漏洞扫描器解析:本地拒绝服务检测详解 阿里聚安全的Android应用漏洞扫描器有一个检测项是本地拒绝服务漏洞的检测,采用的是静态分析加动态模糊测试的方法来检测,检测结果准确 ...

  6. web漏洞扫描器原理_漏洞扫描技巧篇 「Web 漏洞扫描器」

    0x00 前言 之前我们简单介绍了一下扫描器中爬虫的部分,接下来将继续介绍扫描器中一些我们认为比较有趣的技巧. 0x01 编码/解码/协议 在很久以前有人提问 AMF 格式的请求怎么进行检测,或者有什 ...

  7. web安全最亲密的战友Burp Suite—网络攻防常用工具介绍--burp suit工具初体验一

    本文是我的免费专栏<网络攻防常用工具介绍>的第一篇文章 磨刀不误砍柴工! 在介绍攻防技术时,突然意识基础工具的使用很容易会被忽略,但是对不熟悉的同学来说,这将会极大影响该领域的学习. 所以 ...

  8. 面试杭州安恒的初体验

    一.题记 大三快结束前,跟着毕设老师推荐,去面试杭州安恒这家安全厂商公司,面试前做的准备很少,也是我第一次面试的初体验-感慨颇丰.想谈谈自己和今后发展. 二.技术面试 开始聊了几个比较熟知的漏洞,比如 ...

  9. Docker的准备,安装,初体验

    想实践一下Docker,手头是个windows电脑,由于想在linux下实践,所以第一步是装虚拟机,我用的是VMware Workstation 12 Player,虚拟机文件用的是ubuntu-16 ...

最新文章

  1. 另辟蹊径,中科院自动化所等首次用图卷积网络解决语义分割难题
  2. 7. webpack 初步熟悉使用
  3. Doracle.jdbc.J2EE13Compliant=true
  4. redis作用_Redis高可用详解:持久化技术及方案选择
  5. JavaScript学习笔记(八)
  6. Spring Boot实现动态数据库配置
  7. hdu 5101 n集合选2个不同集合数使和大于k
  8. Android 扫描二维码、制作二维码、识别图片中的二维码;简单的Zxing扫一扫功能;
  9. 【ArcGIS微课1000例】0010:ArcGIS影像裁剪(裁剪、掩膜提取)
  10. 人体检测模块的——微波雷达的推荐和使用
  11. PHP socket以及http、socket、tcp、udp
  12. 新概念英语第一册学习笔记
  13. 大家都在学Python,你和别人的差距在哪?
  14. 回味无穷:历史名人的幽默隽语[转自人民网]
  15. 基于layui的后台管理模板
  16. 1112day10:考前复习50题:断言
  17. BZOJ 3238 [Ahoi2013]差异
  18. 记录js逆向5秒dun的日子
  19. 公众号在哪引流?运营公众号需要怎么做?公众号内容建设
  20. CCF2018年12月真题之小明放学

热门文章

  1. json对象转对象数组
  2. 计算机毕业设计SSM电影院订票系统【附源码数据库】
  3. 苇岸的《二十四节气》
  4. 最新版《CCF推荐国际学术会议和期刊目录》正式发布(附目录)
  5. 河北计算机对口高考数学考试题,河北省对口招生考试数学模拟试题
  6. SoapUI 测试REST API(接口测试)
  7. java中文件转Base64字符串及Base64字符串转文件
  8. web测试流程有哪些?重点是什么?我来告诉你
  9. Linux多线程编程-互斥锁
  10. mysql 联合查询后排序_MySQL的查询(联合查询,查询排序,正则表达式)