上文AppScan掃描工具-工作原理&操作教程有寫到Web安全漏洞掃描工具之一的APPScan,除此,還有另外一款國內使用比較主流的Web安全漏洞掃描工具——AWVS。相較於大容量的AppScan,AWVS顯得比較輕量級,安裝包大概100M,掃描速度比較有優勢,所包含的掃描漏洞類型也比較齊全,可以把兩款工具結合一起使用。
AWVS是一款Web漏洞掃描工具,通過網絡爬蟲測試網站安全,檢測流行的Web應用攻擊,如跨站腳本、sql 注入等。據統計,75% 的互聯網攻擊目標是基於Web的應用程序。
AWVS的主要功能模塊
Blind SQL Injector:盲注工具
HTTP Editor:http協議數據包編輯器
WebScanner:Web安全漏洞掃描(核心功能)
Site Crawler:遍歷站點目錄結構(爬蟲功能)
HTTP Sniffer:HTTP協議嗅探器
HTTP Fuzzer:模糊測試工具
Authentication Tester:Web認證破解工具
Target Finder:端口掃描,找出web服務器端口(如80,443)
Subdomain Scanner:子域名掃描器,利用DNS查詢使用方法
AWVS安全掃描操作方法
1.點擊File –> New –> Web Site Scan;or工具欄上的“New Scan”打開創建頁面,如下圖:
2. 填寫需要測試的網址,如下圖,點擊”Next”
PS:此處以一個專門的滲透測試實驗網站為例
3. 根據不同要求,選擇測試類型,一般默認選擇Default,點擊“Next”
4. 自動識別出被測站點的相關信息,此時可直接點擊“Next”
5. 根據需求,錄入或者填寫登錄信息,然后點擊“Next”
PS:如果網站需要登錄,則需要提供登錄信息,否則有些需要登錄才能操作的頁面就無法探測到
1)【Use pre-recorded login sequence】選項:
第一個按鈕:可直接打開AWVS的內置瀏覽器,錄制登錄被測網站的腳本
第二個按鈕:可導入已經錄制好的登錄腳本
2)【Try to auto-login into the site】選項:
可直接輸入登錄網站所需的賬戶名和密碼,然后AWVS用自動探測技術進行識別,不需要手工錄入登錄過程
6. 待到AWVS自動成功偵測到login登錄序列的時候,在界面上點擊“Finish”
7. 開始邊遍歷被測網站的目錄結構,邊探測漏洞
8. 掃描過程中,可以點擊右上角暫停(Pause)or停止(Stop),Stop代表停止本次掃描
9.待完全停止or結束掃描之后,目錄結構上方的工具欄圖標顏色由暗變明,點擊“Report”-“Yes”:將掃描結果插入AWVS內置的數據庫中
再次點擊“Report”,生成掃描報告
10.根據不同要求,選擇不同閱讀者雙方的報告,可生成不同類型的報告和細則,然后點擊導出報告的圖標,選擇不同的格式,即可導出此次安全掃描的報告
結果分析(Analysis)
同樣的,掃描結果並不代表完全真實可靠,還需要依靠人工再次驗證判斷。在AWVS掃描結果基礎上,根據不同的嚴重級別進行排序、手工+工具驗證的方式對漏洞驗證可靠性,排除誤報的情況,並盡可能找出漏報的情況,把本次掃描結果匯總,對以上已驗證存在的安全漏洞排列優先級、漏洞威脅程度,並提出每個漏洞的修復建議
然后,再把此次安全漏洞整理的報告提交給項目負責人,由負責人決定哪些漏洞轉給開發工程師修復,而后再由安全測試工程師進行回歸驗證修復的狀況