使用 Uniscan 扫描网站漏洞

Uniscan是一款联合性扫描工具，用于远程文件包含，本地文件包含和远程命令执行漏洞扫描程序，同时还可以进行指纹识别，DNS域名解析查询，OS检测等多种功能。是小白学习WEB安全一款很不错的工具。现在让我们开始吧!!!

安装

新版的kali中是没有安装的，我们执行下面命令安装。

apt-get install uniscan

查看帮助

uniscan -h

参数说明：

-h :帮助信息
-u : 例如: https://www.example.com/
-f : url's列表-批量扫描
-b :后台运行Uniscan
-q :启用目录检查
-w :启用文件检查
-e : 启用robots.txt和sitemap.xml检查
-d : 启用动态检查
-s : 使用静态检查
-r : 启用压力测试`
-i : Bing搜索
-o : Google搜索
-g : web指纹
-j : 服务器指纹

服务器指纹识别

使用-j命令，对服务器进行指纹识别。扫描结果将会包含以下内容，ping结果、TRACEROUTE 、NSLOOKUP以及Nmap结果。

uniscan -u https://bbskali.cn -j

通过将 ICMP 数据包发送到目标服务器并建立连接来启动 PING 枚举。
此外，它将使用 TRACEROUTE 来显示从源到目标的信息包的路径，并列出它经过或失败并被丢弃的所有路由器。
NSLOOKUP是一个查询互联网域名服务器（DNS）的程序。NSLOOKUP或反向DNS（rDNS）是一种将IP地址解析为域名的方法。
NMAP对目标服务器进行主动扫描，以识别开放端口和协议服务，它还使用 NMAP NSE 脚本枚举目标，以识别正在运行的服务的漏洞和详细信息。

动态扫描

使用-d命令，对目标服务器进行动态扫描。将加载选定的插件来进行攻击，如XSS SQL注入等。

uniscan -u https://bbskali.cn -d

后记

虽然这个项目已不长用了，但是对于新手用来检测web漏洞已足够了。通过简单的扫描来查找目标存在的xss sql注入等常见的漏洞。能将Nmap、traceroutes、ping 等扫描结果通过html汇总在一起，能够直观的获取我们想要的内容。