一、什么是AWVS ?
Acunetix Web Vulnerability Scanner(簡稱AWVS)是一款知名的Web網絡漏洞掃描工具,它通過網絡爬蟲測試你的網站安全,檢測流行安全漏洞。
二、下載及安裝部分。
忽略。網上很多
三、實際應用新建一次掃描
1.scan type:
一般選擇第一個即可
①:Scan single website:在Website URL處填入需要掃描的網站網址,如果你想要掃描一個單獨的應用程序,而不是整個網站,可以在填寫網址的地方寫入完整路徑。wvs支持HTTP/HTTPS網站掃描。
②:Scan using saved crawling results:導入WVS內置 site crawler的爬行到的結果,然后對爬行的結果進行漏洞掃描。
③:Access the scheduler interface:如果被掃描的網站構成了一個列表形式(也就是要掃描多個網站的時候),那么可以使用Acunetix的Scheduler功能完成任務,訪問 http://localhost:8183,掃描后的文件存放在“C:\Users\Public\Documents\Acunetix WVS 10\Saves”.
2.Options:
一般選擇defalt即可
Scanning profile:設置側重掃描的類型,包含16種側重檢測類型,如下:
②:可定制掃描器掃描選項,
AWVS在默認情況下只有“default”默認掃描參數配置策略,點擊旁邊的Customize則可以自定義:
這里講下我測試的項目用到的。
點擊自定義,找到Custom Cookies,新建配置,添加進所需的cookies.這樣可以實現預登陸狀態下的掃描。
3.Target :選擇默認就行,直接點NEXT
(a)、掃描目標的根路徑
(b)、服務的banner
(c)、目標URL
(d)、目標操作系統
(e)、目標的Web容器
(f)、目標的程序語言
4.Login :選擇默認就行,直接點NEXT
①:使用預先設置的登錄序列,可以直接加載lsr文件,也可以點擊白色處開始按照步驟新建一個登錄序列(具體步驟參考后面的演示)
②:填寫用戶名密碼,嘗試自動登錄.在某些情況下,可以自動識別網站的驗證。
5.Finish:點擊開始掃描
①:使用AcuSensor傳感技術的設置
②:爬行與掃描中是否區分大小寫
③:將這次的設置保存為一個策略,以便下次直接使用策略
四、報告
1.Generater report from this scan :
使用Configuration Settings可定制報告的某些信息,例如logo等.
轉換為不同的格式報告,PDF,HTML,Text,Word.BMP。我們一般用Word格式。
2.掃描的高低危漏洞統計,
如下圖就是威脅等級:Level 3,漏洞總結果是110個,High(紅色):高危漏洞1個,Medium(橙色):中危漏洞49個,Low(藍色):低危漏洞3個,Informational(綠色):提示信息57個。
下方顯示三個信息。
①Taget Information:包含目標站點 1、是否應答、2、WebServer的banner、3、操作系統、4、Web容器、5、程序語言
②Statistics:對掃描的各種信息統計,包含1、掃描的總時間、2、HTTP請求數量、3、平均掃描時間、4、掃描重復次數
③Progress:掃描進度信息的提示,包含1、是否掃描完成,100.00%表示已完成,2、端口掃描是否完成 3、蜘蛛爬行是否完成(文件數量、目錄數量、變量數量)、4、腳本信息 5、內部模塊
綜上,已經完成了一次簡單的安全測試,並生成了報告。
快去測測你的項目吧~
后面一起解鎖AWVS更多的功能!