下载掌阅APP,畅读海量书库
立即打开
Acunetix Web Vulnerability Scanner(简称AWVS),是Web安全测试项目评估不可或缺的一款网络漏洞扫描工具,通过界面登录方式可对目标网站快速扫描和评估,所以在安全圈子也受到大家认可。如果你手动挖掘漏洞能力稍有不足,可通过人工和工具对目标进行测试。本节通过对AWVS全面介绍让大家认识AWVS,帮助大家快速使用AWVS小技巧提升能力。
AWVS是一款自动化应用程序安全测试工具,支持Windows平台,主要用于扫描Web应用程序上的安全问题,如SQL注入、XSS、目录遍历、命令注入等。
到官网去添加相关信息之后可以下载15日的试用版本,具体怎样去延长试用日期,大家可以利用搜索引擎自行寻找答案。试用版获取页面如图2.80所示。
下载好安装包之后,单击第一个按钮同意协议,如图2.81所示。
图2.80 AWVS
图2.81 同意协议
设置用来登录的邮箱和密码,如图2.82所示。
设置访问的端口,这里使用默认的“3443”,如图2.83所示。
图2.82 设置邮箱和密码
图2.83 设置端口
在本地创建快捷方式,如图2.84所示。
确认安装信息,单击【Install】,如图2.85所示。
图2.84 创建快捷方式
图2.85 确认安装信息
安装证书,如图2.86所示。
出现以下界面即说明安装成功,如图2.87所示。
图2.86 安装证书
图2.87 安装成功
运行AWVS访问对应端口,出现输入身份认证界面,如图2.88所示。
图2.88 访问界面
登录之后,出现AWVS初始界面,接下来就可以使用了,如图2.89所示。
图2.89 登录成功
设置需要扫描的站点,如图2.90所示。
图2.90 设置扫描站点
可以设置扫描的速度,如图2.91所示。
设置扫描的时候使用【User Agent】,如图2.92所示。
图2.91 设置扫描速度
图2.92 使用【User Agent】
扫描的时候有三个选项【Full Scan】【None】【Instant】,其中主要选择的扫描类型有【Full Scan】(全扫)、【High Risk Vulnerabilities】(高危漏洞扫描)、【Cross-site Scripting Vulnerabilities】(跨站脚本漏洞扫描)、【SQL Injection Vulnerabilities】(SQL注入漏洞扫描)、【Weak Passwords】(弱口令扫描)、【Crawl Only】(仅爬虫)、【Malware Scan】(恶意文件扫描)七种。这里选择【Full Scan】(全扫),如图2.93所示。
也可以到【Scan Types】里去设置自定义规则,如图2.94所示。
图2.93 设置扫描选项
图2.94 设置自定义规则
【Scan Information】界面会显示出大体的扫描进度,如图2.95所示。
图2.95 扫描进度
【Vulnerabilities】界面会显示扫描出的漏洞情况,双击可以查看漏洞细节,如图2.96所示。
图2.96 漏洞情况
【Site Structure】界面主要显示网站的目录结构,让大家直观感受网站的大体框架,如图2.97所示。
图2.97 网站目录结构
【Events】主要显示扫描过程中发生的时间,如图2.98所示。
图2.98 【Events】模块
最后,可以在界面的右上角选择自己想要的格式并导出报告,如图2.99所示。
图2.99 导出报告