1.检测CSRF漏洞：—NMAP

nmap -p80 --script http-csrf.nse "url(二级)【例如：www.baidu.com】"

2.cookie未设置httponly标识—httpRequester

cookie 设置 httpOnly属性防止js读取cookie.

3.慢HTTP dos攻击—httpslowtest【看绿色线掉下来之后不上升或间隔大为有此漏洞】

• 安装httpslowtest

  kali#apt-get install slowhttptest
  

• 使用httpslowtest~查询结果要在goole里翻墙看
  graph版

  slowhttptest -c 1000 -B -g -o my_body_stats -i 110 -r 200 -s 8192 -t FAKEVERB -u http://www.daliandpf.org.cn -x 10 -p 3  
  

  常用

  slowhttptest -c 1000 -H -g -o my_header_stats -i 10 -r 200 -t GET -u http://www.daliandpf.org.cn -x 24 -p 3 
  

4.端口信息—NAMP

常用命令：
* nmap -A ip -v                //详细查看该IP全部端口信息，扫描过程显示
* nmap -p 80 www.baidu.com –script=sql.injection.nse    //扫描sql注射
* nmap -p 80 198.169.1.2          //扫描指定端口                   

5. X-Frame-Options头缺失—burp

X-Frame-Options 有三个值:

* DENY
  表示该页面不允许在 frame 中展示，即便是在相同域名的页面中嵌套也不允许。
* SAMEORIGIN
  表示该页面可以在相同域名页面的 frame 中展示。
* ALLOW-FROM uri
  表示该页面可以在指定来源的 frame 中展示。  

6. 检测心脏出血openssl

nmap -sV -p 443 –script=ssl-heartbleed 192.168.197.128