在VM上部署的网站上的漏洞评估

Question

我的任务是对托管在VM上的OWASP果汁商店进行漏洞评估。提供给我的VM运行在VMWare上(没有UI，只有一个IP地址来访问带有自定义端口号的网站)。我使用了Nmap、Nikto、OpenVAS和Nessus，几乎所有与web应用程序扫描相关的设置。

问题在于，所有这些工具都在检测VM本身，显示网站的端口号是开放的，并且没有其他任何有用的信息。我很感谢你的帮助。

Answer 1

您需要使用为攻击网站而设计的工具，如OWASP ZAP。注意，果汁商店是为了教人们如何发现漏洞而设计的。它包含的许多问题不容易被自动化工具(如ZAP )发现。