- 概述:
AWVS(Acunetix Web Vulnerability Scanner)是一款专业的网络应用安全扫描工具,用于检测和评估网站的安全漏洞。它能够自动扫描网站和Web应用,识别常见的安全漏洞如SQL注入、跨站脚本(XSS)、跨站请求伪造(CSRF)、文件包含漏洞等
- 工作原理:
1.扫描整个网络,通过跟踪站点上的所有链接和robots.txt来是先扫描,扫描后映射出站点的结构和文件的细节信息
2.在扫描过程后,AWVS会自动地对发现的每一个页面发动一系列漏洞攻击,实质上是模拟黑客的攻击过程;AWVS分析每一个页面中需要输入数据的地方,进而尝试所有组合攻击;这是一个自动扫描阶段
3.在AWVS发现漏洞之后,就会在"Alerts Node(警告节点)"中报告这些漏洞,每一个警告都包含这漏洞i西南西和修补建议
4.在一次扫描完成后,AWVS会将结果保存为文件以备日后分析和与之前分析进行比较
AWVS的安装可以参考CSDN上的安装教程
网址:AWVS安装与使用(最新版2022.12.27更新)
也可以在淘宝上搜索神粤安全购买安装教程,下面为对应的安装过程
- 第一步:下载完成后打开文件夹,可以查看readme查看激活成功教程教程
- 第二步:运行acunetix_24.4..exe,安装位置推荐选择默认,其他安装位置会导致脚本失效,剩下的按照默认设置就好
- 第三步:解压Acunetix-v24.4.-Windows.zip获取脚本
- 第四步:使用管理员身份运行crack.bat脚本进行激活成功教程
- 第五步:重新进入登录界面查看是否可以成功登录
- 第六步:点击左上角 Administrator->Profile 将 Language 项选择 简体 , 并在 Last name(required) 输入框中输入任意内容,最后拉到网页最下面进行保存
- 主菜单功能
- 功能设置菜单
- 第一步:添加扫描目标
点击 目标->添加目标 ,设置目标地址信息后保存
csv格式为:URL,描述
- 第二步:设置扫描配置文件
一般选择全扫,也可以根据需求设置不同类型
- 第三步:设置扫描速度
用于绕过WAF拦截选择慢扫,有WAF的时候并发设置为1
- 第四步:设置爬取
可以选择客户端代理,是否区分路径大小写和爬虫排除路径
有些爬虫爬不到的路径,可以先使用目录爆破工具爆破目标的目录,之后将目录添加到AWVS中
例如,为了确保漏洞覆,这里使用Burp Suite录制一份靶场的流量,导入到AWVS中,具体的使用过程可以参考另一篇文章:Burp Suite使用教程【入门】
- 第五步:设置HTTP身份验证
一般用于网站有HTTP认证的情况,在这里先登录到靶机网站获取账户信息,可以看到用户名和密码都是test
将获取到的账号信息输入到HTTP身份验证中
- 第六步:设置代理服务器
可以根据情况自行定义,这里不做设置
- 第七步:自定义报头、Cookie
可以根据情况自行定义,这里不做设置
- 第八步:设置排除时间,防止流量过剩
- 第九步:保存后点击 扫描 ,等待完成后查看结果
- 第十步:导出为报告
点击右上角的 生成报告->综合(新) 后在 报告 模块中查看并下载
- AWVS账户密码登录扫描
对于登录界面没有验证码的,可以输入账号、密码进行扫描
新建扫描任务的时候,开启网站登录,并配置登陆表信息
- 利用登陆序列脚本扫描
对于登录页面没有验证码的,也可以利用录制登录序列脚本扫描
新建扫描任务,配置处点击网站登录,选择录制登录序列脚本,点击创建:
- 利用cookie扫描
扫描过程会遇到网站存在手机验证码、图形验证码、滑动验证等,这时候想要深度扫描就需要进行登录绕过
最常用的手段就是cookie绕过
选择 高级->自定义Cookie :
版权声明:
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如若内容造成侵权、违法违规、事实不符,请将相关资料发送至xkadmin@xkablog.com进行投诉反馈,一经查实,立即处理!
转载请注明出处,原文链接:https://www.xkablog.com/do-yfwjc/59913.html