今日给咱们介绍的是一款名叫NagaScan的针对Web运用程序的分布式被迫缝隙扫描器，NagaScan现在支撑包括XSS、SQL注入、以及文件包括等缝隙。

NagaScan的运转机制
首要NagaScan会设置一个署理，例如Web浏览器署理或移动Wi-Fi署理。随后方针Web运用的 *** 流量副本会被传到NagaScan的中心数据库中进行解析处理，接下分布式扫描器便会主动分配NagaScan来扫描常见的Web运用安全缝隙。
东西及组件要求
Web控制台
sudo pip install mysql-connector
sudo pip install jinja2
sudo pip install bleach
扫描器
sudo apt-get install python-pip python-devlibmysqlclient-dev
sudo pip install requests
sudo pip install MySQL-python
sudo pip install -U selenium
sudo apt-get install libfontconfig
署理
sudo apt-get install python-pip python-devlibmysqlclient-dev
sudo pip install MySQL-python
装置与装备
数据库
1.      装置MySQL，创立一个数据库用户名，并设置暗码，例如root/toor；
2.      为NagaScan创立一个数据库，运用指令：source schema.sql
Web控制台
1.      运用咱们自己的数据库装备信息修正Web控制台的装备文件www/config_override.py：
configs = {
    'db': {
        'host':'127.0.0.1',
        'user':'root',
        'password':'toor'
    }
}
2.      运转下列指令敞开Web控制台：
sudo python www/wsgiapp.py
扫描器
1.      用咱们自己的数据库装备信息修正扫描器的装备文件scanner/lib/db_operation.py：
def db_conn():
    try:
        user ="root"
        pwd ="toor"
        hostname ="127.0.0.1"
2.      装置Phantom ***
Linux 64位：
wget https://bitbucket.org/ariya/phantomjs/downloads/phantomjs-2.1.1-linux-x86_64.tar.bz2
tar -jxvfphantomjs-2.1.1-linux-x86_64.tar.bz2
Linux 32位：
wget https://bitbucket.org/ariya/phantomjs/downloads/phantomjs-2.1.1-linux-i686.tar.bz2
tar -jxvf phantomjs-2.1.1-linux-i686.tar.bz2
3.      依照下列代码修正scanner/lib/hack_requests.py的第28行代码：
self.executable_path='[Your Own Phantomjs Binary Path]' #e.g. /home/ubuntu/phantomjs-2.1.1-linux-x86_64/bin/phantomjs
4.      运转下列指令发动扫描器：
扫描文件包括缝隙
python scanner/scan_fi.py
扫描XSS缝隙
python scanner/scan_xss.py
扫描SQL注入缝隙
python scanner/scan_sqli.py
署理&解析器
1.      装置MitmProxy
Ubuntu 16.04（首选）：
sudo apt-get install python3-dev python3-pip libffi-devlibssl-dev
sudo pip3 install mitmproxy
Ubuntu 14.04：
sudo apt-get install python-pip python-dev libffi-devlibssl-dev libxml2-dev libxslt1-dev libjpeg8-dev zlib1g-dev
sudo pip install "mitmproxy==0.18.2"
MacOS：
brew install python3
brew install mitmproxy
2.      运转下列指令敞开署理
mitmdump -p 443 -s "proxy/proxy_mitmproxy.py/tmp/logs.txt"
3.      用咱们自己的数据库装备信息修正解析器的装备文件parser/lib/db_operation.py：
def db_conn():
    try:
        user ="root"
        pwd ="toor"
        hostname ="127.0.0.1"
4.      运转下列指令敞开解析器：
python parser/parser_mitmproxy.py /tmp/logs.txt
东西的运用
运用默许的用户名和暗码（nagascan@example.com/Naga5c@n）拜访Web控制台，完结一些根本的装备并添加SQLMAP服务器：

[1] [2]  黑客接单网