常见的WEB扫描器特征分析

在CTF流量分析题中，常有要求分析出扫描器名称。主要就介绍分类和分析的方法；

1、分类

常⻅⽬录扫描⼯具

御剑

dirsearch

dirb

gobuster

dirbuster

ffuf

wfuzz

主流WEB漏洞扫描器

绿盟（WVSS）

奇安信（网神SecVSS 3600）

安恒（明鉴）

AWVS

Nessus

Appscan

Netsparker

2、发现方法

在流量分析时目录扫描会产生大量的404错误，可以主要看这一部分，根据这个部分特征进行判断；

主要查看方法：

​ 1、搜索关键词，在比赛时一般都会给得比较明显，可以尝试直接搜索一些名称可以直接得到；

​ 2、追踪数据流，查看Headers信息；比如

​ AWVS：

Headers:
Acunetix-Aspect-Password:
Cookie: acunetixCookie
Location: acunetix_wvs_security_testX-Forwarded-Host: acunetix_wvs_security_testX-Forwarded-For: acunetix_wvs_security_testHost: acunetix_wvs_security_testCookie: acunetix_wvs_security_testCookie: acunetix
Accept: acunetix/wvs
Origin: acunetix_wvs_security_testReferer: acunetix_wvs_security_testVia: acunetix_wvs_security_testAccept-Language: acunetix_wvs_security_testClient-IP: acunetix_wvs_security_testHTTP_AUTH_PASSWD: acunetix
User-Agent: acunetix_wvs_security_testAcunetix-Aspect-Queries:任意值
Acunetix-Aspect:任意值

​ Nessus：

Headers
x_forwarded_for: nessus
referer: nessus
host: nessus

​ 3、查看提交信息，例如：AWVS：acunetix_wvs_security_testacunetix