浅谈漏洞扫描与工具

1.什么是框架漏洞

框架漏洞是指在应用程序开发过程中使用的开发框架（例如，Web应用程序框架，操作系统框架等）中存在的安全弱点或漏洞。这些框架通常提供了一些通用的功能和组件，以便开发人员能够更快速地构建应用程序。然而，这些框架也可能包含漏洞，导致应用程序容易受到攻击。 常见框架漏洞：

某web系统漏洞是指针对某一特定系统例如泛微OA，若依管理系统，各种通用CMS，这些具有通用性，甚至是开源的。同时也经常被挖掘漏洞，如果不及时更新补丁则容易收到攻击。 常见通用系统：致远OA 泛微OA 用友OA 若依管理系统 WordPress Discuz 宝塔 Druid ···

针对不同的框架一般有相对应的工具

 2.漏洞扫描工具

常见的漏洞扫描工具，如afrog和fscan自动化扫描器。

2.1afrog

afrog 是一款性能卓越、快速稳定、PoC可定制的漏洞扫描(挖洞)工具，PoC涉及CVE、CNVD、默认口令、信息泄露、指纹识别、未授权访问、任意文件读取、命令执行等多种漏洞类型，帮助网络安全从业者快速验证并及时修复漏洞。

扫描单个目标 afrog.exe -t http://127.0.0.1

2.2Fscan

Fscan是一款内网综合扫描工具，方便一键自动化、全方位漏扫扫描。 支持主机存活探测、端口扫描、常见服务的爆破、ms17010、redis批量写公钥、计划任务反弹shell、读取win网卡信息、web指纹识别、web漏洞扫描、netbios探测、域控识别等功能。

简单用法： fscan.exe -h 192.168.1.1/24 (默认使用全部模块)

fscan.exe -h 192.168.1.1/16 (B段扫描)

一般使用fscan是在进入内网后，在靶机上传fscan后扫描C段，探测内网中的web服务数据库服务等，扩大我们的攻击范围，获取更多信息和数据。