怎样使用扫描仪检测（使用扫描仪的基本步骤）

更新时间：2022-02-10 06:39:08

关于ChopChop

ChopChop是一款功能强大的命令行工具，可以帮助广大研究人员针对Web应用程序进行动态应用程序测试。该工具的主要目的是扫描终端节点，并识别暴露的敏感服务、文件和目录。开发人员还可以在配置文件中声明检测项和签名，所有内容均支持配置，配置文件为chopchop.yml。

工具下载

广大研究人员可以使用下列命令将该项目源码克隆至本地：

git clone http://github.com/michelin/ChopChop项目构建

我们可以通过下列命令轻松构建项目代码：

$ go mod download $ go build .

运行上述命令后，项目目录内将出现构建生成的gochopchop代码。

Docker使用

多亏了Github Container Registry，我们可以直接给大家提供最新版本的Docker镜像：

docker run ghcr.io/michelin/gochopchop scan http://foobar.com -v debug

如果你愿意的话，你也可以在本地进行镜像构建：

docker build -t gochopchop .工具使用

我们希望ChopChop的使用是尽可能简单的，所以我们可以直接使用下列命令将该ChopChop当作一款实用工具来直接对目标主机进行扫描：

$ ./gochopchop scan http://foobar.com使用Docker

docker run gochopchop scan http://foobar.com自定义配置文件

docker run -v ./:/app chopchop scan -c /app/chopchop.yml http://foobar.com可选参数

当前版本的ChopChop支持使用下列参数选项来配合scan命令执行扫描：

高级使用扫描和禁用SSL验证

$ ./gochopchop scan http://foobar.com --insecure使用自定义配置文件扫描

$ ./gochopchop scan http://foobar.com --insecure --signature test_config.yml按严重程度枚举所有插件

$ ./gochopchop plugins --severity High执行扫描指定并发线程数量

$ ./gochopchop plugins --threads 4指定需要检测的签名

./gochopchop scan http://foobar.com --timeout 1 --verbosity --export=csv,json --export-filename boo --plugin-filters=Git,Zimbra,Jenkins枚举所有插件

$ ./gochopchop plugins枚举高严重性插件

$ ./gochopchop plugins --severity High在文件中设置URL列表

$ ./gochopchop scan --url-file url_file.txt将ChopChop扫描结果导出为CSV和JSON格式

$ ./gochopchop scan http://foobar.com --export=csv,json --export-filename results外部代码库

库名称	链接	许可证
Viper	http://github.com/spf13/viper	MIT
Go-pretty	http://github.com/jedib0t/go-pretty	MIT
Cobra	http://github.com/spf13/cobra	Apache 2.0
strfmt	http://github.com/go-openapi/strfmt	Apache 2.0
Go-homedir	http://github.com/mitchellh/go-homedir	MIT
pkg-errors	http://github.com/pkg/errors	BSD 2
Go-runewidth	http://github.com/mattn/go-runewidth	MIT