實驗目的
利用AWVS掃描Web漏洞。
實驗原理
AWVS是一款知名的網絡漏洞掃描工具,它通過網絡爬蟲測試你的網站安全,檢測流行安全漏洞。
實驗內容
AWVS是一個自動化的web應用程序安全測試工具,他可以掃描任何可通過web瀏覽器訪問的和遵循HTTP/HTTPS規則的web站點和web應用程序。AWVS可以通過SQL注入攻擊漏洞、跨站腳本漏洞等來審核web應用程序的安全性。他可以掃描任何可通過web瀏覽器訪問的和遵循HTTP/HTTPS的web站點和web應用程序。
實驗環境描述
實驗環境描述
1、學生機與實驗室網絡直連;
2、VPC1與實驗室網絡直連;
3、學生機與VPC1物理鏈路連通;
pc機:Windows7旗艦版
實驗步驟
1、進入虛擬機H004003001win702,進入網頁,搜索127.0.0.1
2、進入虛擬機H004003001win701,雙擊桌面上的AWVS快捷方式,打開AVWS
3、點擊AWVS左上角的New Scan按鈕,
Scan single website:在Website URL處填入需要掃描的靶機H004003001win702的IP地址,如果你想要掃描一個單獨的應用程序,而不是整個網站,可以在填寫網址的地方寫入完成路徑 Scan using saved crawling results:此選型可以讓你導入WVS內置site crawler tool的爬行結果,然后進行漏洞掃描 如果需要掃描的網站構成了一個列表,那么可以使用Acunetix的Scheduler功能完成任務,訪問http://localhost:8181
4、點擊Next進入Options即選型頁面,Options部分的設定主要分為兩部門,點擊Next進入下一步。
5、接下來進入Target頁面,此頁面主要顯示靶機的一些基本信息,有時候WVS無法判定服務器所用腳本語言,可以手動指定,點擊右下角的Next進入下一步
Base path:表示從哪個目錄開始掃描,/ 表示根目錄
Server banner:表示被掃描靶機的服務器banner信息
Target URL:被掃描靶機的網址
Operating system:被掃描靶機的操作系統類型
WebServer:被掃描靶機的Web服務器信息
6、如果網站需要登錄的話在Login頁面進行登錄,此處我們可以不登錄,點擊右下角的Next進入下一步
7、在Finish頁面點擊有下角的Finish按鈕開始掃描
8、等掃描完成后可以在主界面查看靶機網站存在的漏洞,漏洞分為高、中、低三種
9、如果想查看漏洞的詳細信息,可以展開Scan Thread里面的信息並點擊進行查看
10、點擊主頁面的report按鈕來進入導出掃描結果頁面
11、點擊此頁面的按鈕來選擇導出的頁面格式,此處我們選擇html格式,並選擇另存到桌面上,此時在桌面上便能看到漏洞報告的html文件,雙擊打開文件便能查看漏洞信息
