AWVS基础教程

AWVS基础教程

介绍

Acunetix Web Vulnerability Scanner(AWVS)经典商业漏扫工具。可以扫描任何通过Web浏览器访问和遵循HTTP/HTTPS规则的Web站点。AWVS可以通过检查SQL注入攻击漏洞、XSS跨站脚本攻击漏洞等漏洞来审核Web应用程序的安全性。

AWVS功能及特点

  • 自动的客户端脚本分析器,允许对Ajax和Web2.0应用程序进行安全性测试
  • 业内最先进且深入的SQL注入和跨站脚本测试
  • 高级渗透测试工具,例如HTPP Editor和HTTP Fuzzer
  • 可视化宏记录器帮助您轻松测试web表格和受密码保护的区域
  • 支持含有CAPTHCA的页面,单个开始指令和Two Factor(双因素)验证机制
  • 丰富的报告功能,包括VISA PCI依从性报告
  • 高速的多线程扫描器轻松检索成千上万的页面
  • 智能爬行程序检测web服务器类型和应用程序语言
  • Acunetix检索并分析网站,包括flash内容,SOAP和AJAX
  • 端口扫描web服务器并对在服务器上运行的网络服务执行安全检查
  • 可到处网站漏洞文件

AWVS工作原理

  • 扫描整个网络,通过跟踪站点上的所有链接和robots.txt来实现扫描,扫描后AWVS就会映射出站点的结构并显示每个文件的细节信息。
  • 在上述的发现阶段或者扫描过程之后,AWVS就会自动地对所发现的每一个页面发动一系列的漏洞攻击,这实质上是模拟一个黑客的攻击过程(用自定义的脚本去探测是否有漏洞) 。AWVS分析每一个页面中需要输入数据的地方,进而尝试所有的输入组合。这是一个自动扫描阶段 。
  • 在它发现漏洞之后,AWVS就会在“Alerts Node(警告节点)”中报告这些漏洞,每一个警告都包含着漏洞信息和如何修补漏洞的建议。
  • 在一次扫描完成之后,它会将结果保存为文件以备日后分析以及与以前的扫描相比较,使用报告工具,就可以创建一个专业的报告来总结这次扫描。

安装

这里使用docker进行安装,方便又快捷

#  pull 拉取下载镜像
docker pull secfa/docker-awvs

#  将Docker的3443端口映射到物理机的 13443端口
docker run -it -d -p 13443:3443 secfa/docker-awvs

# 容器的相关信息
awvs13 username: admin@admin.com
awvs13 password: Admin123
AWVS版本:13.0.200217097

浏览器访问:https://127.0.0.1:13443/ 即可

image-20220427204615390

AWVS的使用

AWVS页面简介

主菜单功能介绍:主菜单共有5个模块,分别为Dashboard、Targets、Vulnerabilities、Scans和Reports。

  • Dashboard:仪表盘,显示扫描过的网站的漏洞信息
  • Targets:目标网站,需要被扫描的网站
  • Vulnerabilities:漏洞,显示所有被扫描出来的网站漏洞
  • Scans:扫描目标站点,从Target里面选择目标站点进行扫描
  • Reports:漏洞扫描完成后生成的报告

设置菜单功能介绍:设置菜单共有8个模块,分别为Users、Scan Types、Network Scanner、Issue Trackers、Email Settings、Engines、Excluded Hours、Proxy Settings

  • Users:用户,添加网站的使用者、新增用户身份验证、用户登录会话和锁定设置
  • Scan Types:扫描类型,可根据需要勾选完全扫描、高风险漏洞、跨站点脚本漏洞、SQL 注入漏洞、弱密码、仅爬网、恶意软件扫描
  • Network Scanner:网络扫描仪,配置网络信息包括地址、用户名、密码、端口、协议
  • Issue Trackers:问题跟踪器,可配置问题跟踪平台如github、gitlab、JIRA等
  • Email Settings:邮件设置,配置邮件发送信息
  • Engines:引擎,引擎安装删除禁用设置
  • Excluded Hours:扫描时间设置,可设置空闲时间扫描
  • Proxy Settings:代理设置,设置代理服务器信息
image-20220427212219238

使用AWVS扫描网站

这里扫我本地搭的DVWA网站进行验证

  • 添加网址,点击Save
image-20220427214504209
  • 进入扫描设置页面,根据项目需求,配置信息,点击scan开始扫描
image-20220427214559621
  • 设置扫描选项,一般选择全扫,也可以根据你的需求设置扫描类型,设置完成后执行扫描
image-20220427214629611
  • 执行扫描后,自动跳转到仪表板,可以查看扫描过程中发现的漏洞情况
image-20220427214737228
  • 点击Vulnerabilities进入漏洞列表页面,这里可以导出扫描报告 AWVS将漏洞分为四级并用红黄蓝绿表示紧急程度,其中红色表示高等、黄色表示中等、蓝色表示低等、绿色表示信息类(这里吐槽一句,DVWA默认是impossible难度,本来应该是除了登陆的弱密码,其他都应该扫不到才对,但是DVWA的作者自己写的代码还是出现除了靶场指定的注入点以外的XSS漏洞,经过验证之后确实是存在的)
image-20220427214748076
  • 点击选择一个漏洞,点击进入可以看到AWVS给出的详细描述 AWVS给出了漏洞详细描述信息,包括:Vulnerability description(漏洞描述)、Attack Details(攻击详细信息)、HTTP Request (http请求)、HTTP Response (http响应)、The impact of this vulnerability(此漏洞的影响)、How to fix this vulnerability(如何修复此漏洞)、Classificationa(分类)、Detailed Information(详细信息)、Web References web(引用)
image-20220427215036759
  • 站点结构Site Structure查看每个模块的漏洞情况,便于及时定位问题
image-20220427215102480

AWVS导出报告

  • 在Scans页面选择报告类型,点击导出
image-20220427215212444
  • 在Reports页面可选择要下载的报告格式类型,包括pdf和html AWVS在扫描结束后还可以根据不同要求不同阅读方式,可生成不同类型的报告和细则,然后点击导出报告图标即可导出此次安全扫描报告。
image-20220427215239119

参考资料

漏洞扫描软件AWVS的介绍和使用

AWVS13.X 破解版Windows、Linux、Docker

评论

  1. kuang-_-
    11月前
    2023-1-07 19:42:41

    希望这个blog一直都在 跟随大佬步伐中 加油!

  2. webkubor
    9月前
    2023-3-22 15:58:53

    不错

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇