# 9\. Web 應用程序測試
Metasploit Pro 在`Web Apps`(Web 應用程序)選項卡下提供 Web 掃描、Web 審 計和 Web 入侵功能。 這些功能幫助您在處于活動狀態的 Web 內容和表單中搜索漏洞 并進行入侵。
+ Web 應用程序掃描: 對網頁啟用爬蟲、搜索表單和活動內容
+ Web 應用程序審計: 搜索這些表單中的漏洞
+ Web 應用程序入侵: 入侵找到的漏洞
9.1 點擊選項卡前往`Web Apps`(Web 應用程序)頁面。
9.2 要運行 web 掃描,請前往`Web Apps > WebScan`或`Project > WebScan`(項目 > WebScan)。
9.3 輸入條件,包括`Seed URLs`(種子 URL)、`Max # pages requested`(請求的 最大頁數)、`Max amount of time`(最長時間)、`# of concurrent requests`、`allowed per website`(每個網站允許的并發請求數量)。 從過去的掃描中選擇已 識別的 web 服務。
9.4 要為 HTTP 基本驗證和 cookie 輸入憑證,請點擊按鈕。
9.5 點擊按鈕來啟動 web 掃描。 掃描后,將在`Web Apps`(Web 應用程 序)選項卡上顯示找到的 Web 應用程序。 這些信息包括 IP 地址、網站 URL、服務 名稱、頁數和表單數量。
9.6 要運行 Web 審計來搜索已掃描表單中的漏洞,請點擊  按鈕。 輸入您 的條件,包括`Max # requests sent to target application form`(發送至目標 應用程序表單的最大請求數量)、`Max amount of time per form`(每個表單的最 長時間)、`Max # of unique form instances`(唯一表單實例的最大數量)、 `Credential information`(憑證信息)和`User agent`(用戶代理程序)。
9.7 您也可以選擇`Target Web App`(目標 Web 應用程序)。
9.8 點擊  按鈕來啟動 web 審計。 將在`Web Apps`(Web 應用程序)選項 卡上更新 Web 審計結果,例如漏洞數量。 點擊`Risk`(風險)圖標,`Vulns`
(漏洞)數量或`Web Site`(網站)URL 來檢查 web 應用程序的漏洞列表。
9.9 將通過以下信息顯示具有漏洞的 web 應用程序,包括漏洞類型(例如 SQL 注入)、 路徑、機密性級別、所用方式、參數和證據。
9.10 要通過漏洞入侵 web 應用程序,請點擊漏洞詳細信息的`Path`(路徑)。 例 如:選擇一個屬于 XSS 類別的漏洞。 利用`VULNERABLE`這個單詞定位登錄字段, 并通過在`VULNERABLE`后添加一些信息來編輯該字段。
9.11 點擊  。該瀏覽器將顯示已被注入的網頁。
