首页 > 其他 > 详细

AWVS的使用1

时间:2020-03-14 16:38:11      阅读:95      评论:0      收藏:0      [点我收藏+]

前言

AWVS是一款可与IBM AppScan比肩的、功能十分强大的Web漏洞扫描器。由Acunetix开发,官方站点提供了关于各种类型漏洞的解释和如何防范,具体参考:Acunetix Web Vulnerabilities Index。同时,这款工具也个人十分喜爱的一款工具,扫描快速,资源占用率低、扫描策略设置简单、批量十分方便。

  虽然现在AWVS已经更新到了AWVS12版本,但个人用的最多的还是AWVS 10.5版本。

  原版下载地址:Acunetix Web Vulnerability Scanner 10.x Consultant Edition KeyGen By Hmily[LCG]

  Github下载链接:AWVS 10.5破解版

  安装过程可参考:AWVS12破解版使用 的安装破解过程。

  AWVS官方扫描测试站点:http://testphp.vulnweb.com/

使用

 AWVS的界面相对更为简洁和直观,让人一目了然。具体如下图所示:

左侧是工具栏(AWVS自带很多小的工具)、中间是扫描结果(漏洞类型和数量,同时显示站点的目录结构)、右侧包括:漏洞描述、细节、数据包查看及漏洞影响和修复方法

技术分享图片

 

 

 新建扫描任务

方法一:客户端界面

双击桌面创建的快捷方式启动AWVS扫描工具,点击[New Scan] >> 填入目标扫描地址,按提示内容(默认)操作即可

技术分享图片

 

 

 采用客户端方式的便利之处在于可以直接观测的扫描进程,一些实时扫描出的问题可以直接看到,如下所示:

技术分享图片

 

 

 方法二:Web界

从上得知可以访问http://localhost:8183/,来查看Web界面

技术分享图片

 

 

 技术分享图片技术分享图片

导出报告

 

 

技术分享图片

 

 

 弹出一个新的窗口,选择Generate Report>>

技术分享图片

 

 

 可以设置报告中可包含的内容 >>

技术分享图片

 

 

 点击Generate >> 

  右侧即是生成的报告内容,可以阅览,我们可以导出我们想要的报告格式,PDF|HTML|Word等

技术分享图片

 

 

 

表单填充

如测试站点有个登录框:http://testphp.vulnweb.com/login.php

  需要输入正确的用户名密码方能进行下一步扫描工作

  我们直接将登录页面作为扫描的目标地址,创建任务>>>Login,点击右侧箭头标注的New Login Sequence

技术分享图片

 

 即会弹出一个模拟浏览器的登录过程,我们输入用户名密码,点击login

技术分享图片

 

 登录成功之后,我们可以随意浏览,这样扫描器就能获得更多的信息,有助于发现更多的问题

技术分享图片

 

 

点击Finish,会让你保存当前的登录序列,保存开始扫描任务即可。

 

其他工具

子域名探测

选择左侧Tools >> SubDomain Scanner,输入Domain进行扫描即可,但功能比较有限,可以作为辅助使用

技术分享图片

 

 

站点目录爬取

选择左侧Tools >> Site Crawler,输入站点URL,点击Start即可。

如图所示,在扫描站点目录的时候,很有可能发现一些意向不到的配置文件、数据备份、站点源码备份文件等

技术分享图片

 

 

HTTP Editor

这个小工具可以让你方便的编辑HTTP Header、发送和查看响应

技术分享图片

 

 可以查看和编辑请求Request >>

技术分享图片

 

 

编码工具

在测试一些SQL注入|XSS漏洞,我们需要调整输入的参数,编码是其中一种重要的手段,在编辑参数时,同样提供了这样的功能,如下图所示,提供了多种编码/参数变换方式。

  图中是对admin123做MD5运算的结果

技术分享图片

 

AWVS的使用1

原文:https://www.cnblogs.com/CDZX/p/12492741.html

(0)
(0)
   
举报
评论 一句话评论(0
关于我们 - 联系我们 - 留言反馈 - 联系我们:wmxa8@hotmail.com
© 2014 bubuko.com 版权所有
打开技术之扣,分享程序人生!