本文详细介绍AWVS这一自动化Web应用程序测试工具,涵盖功能模块、部署指南及实战技巧,包括WebScanner、SiteCrawler、TargetFinder等功能,以及扫描、爬行、目标识别等选项设置。
扫描类必备工具,好多公司基本上都会用着的 AWVS神器
下面开始把板凳准备好:
AWVS功能介绍
简介这些鸡汤我们就不说了,直接实战!!!!!
这个我会讲的很详细,全场看图
优劣势
优势:
功能灵活强大,支持多种目标,大量计算机的同时扫描;
流行,由于其具有强大的扫描机探测功能,,已被成千上万安全专家使用。
劣势:
英文界面,使用较难
1.2.1 功能介绍
AWVS是一个自动化的Web应用程序测试工具,通过检查可利用的漏洞,黑客可以审核Web应用程序的安全性。
1.2.2 部署指南
官方网站下载安装包(http://www.acunetix.com/vulnerability-scanner/download/),直接双击安装。
1.2.3 实战
AWVS五大功能模块:
Web Scanner
WebSite Scan
菜单:File>>New>>Web Site Scan
Scan type
Scan single website
在Website URL处填入需要扫描的网址,如果是扫描一个单独的应用程序,则可以填入程序的完整路径。
Scan using saved crawling results
导入WVS内置site crawler tool 的爬行结果,然后进行漏洞扫描。
Access the scheduler interface
如果需要扫描的网站构成了一个列表,那么可以使用Scheduler功能完成任务。
Options
Scanning options
Scanning profile:对单一漏洞,采取针对性的扫描,如XSS、SQL注入等;Scan settings:扫描选项的高级设置。
Crawling options
爬行完成后,如何操作(可用于选择想要扫描的文件)。
定义爬行起点。
Target
有些时候WVS无法判定服务器所使用的脚本语言,需要手动指定。
Login
开始扫描
Tools
- Site Crawler
指定爬行网址和登录会话。 - Target Finder
查询某网段,开放指定端口的服务器。
- Subdomain Scanner
可设定DNS服务和DNS超时时间,如果存在区域传输,可进行深入挖掘。
- Blind SQL Injector
通过此功能模块可以检测出存在SQL注入的页面
- HTTP Editor
通过HTTP Editor可以对HTTP请求的数据进行编辑。
- HTTP Sniffer
WVS提供的HTTP/HTTPS代理功能。
- HTTP Fuzzer
某种程度上,类似Burp的Intruder功能。(可以看上一篇Burp)
- Authentication Tester
- Compare
比较两次扫描结果的异同。
看完是不是比较懵逼,哈哈哈,刚开始我也是,自己动手做一下哦,很多问题都自然解开,看十遍不如做一遍。加油!!!!!!!
感谢你的阅读,记得点赞加关注哦!!!!
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
