碼迷,mamicode.com
首頁 > Web開發 > 詳細

web漏洞掃描工具AWVS使用

時間:2018-10-13 02:57:10      閱讀:6189      評論:0      收藏:0      [點我收藏+]

標簽:提升   網絡   main   使用方法   php   insert   爬取   漏洞挖掘   客戶端   

 

AWVS

 

AWVS簡介
Acunetix Web Vulnerability Scanner(簡稱AWVS)是一款知名的網絡漏洞掃描工具,它通過網絡爬蟲測試你的網站安全,檢測流行安全漏洞,如交叉站點腳本,sql 注入等。在被黑客攻擊前掃描購物車,表格、安全區域和其他Web應用程序。75% 的互聯網攻擊目標是基于Web的應用程序。因為他們時常接觸機密數據并且被放置在防火墻之前。


AWVS的主要功能

Web Scanner 核心功能 web安全漏洞掃描
Site Crawler 爬蟲功能 遍歷站點目錄結構
Target Finder 端口掃描 找出web服務器 ,80443
Subdomain Scanner 子域名掃描器 利用DNS查詢
Blind SQL Injector 盲注工具
HTTP Editor http協議數據的編輯器
HTTP Sniffer http協議嗅探器
HTTP Fuzzer 模糊測試工具
Authentication Tester web認證破解工具

 

 

AWVS特點

a 自動的客戶端腳本分析器,允許對Ajax和Web2.0應用程序進行安全性測試

b 業內最先進且深入的SQL注入和跨站腳本測試

c 高級滲透測試工具,例如: HTTP Eidtor 和 HTTP Fuzzer

d 可視化宏記錄器幫助您輕松測試web表格和受密碼保護的區域

e 支持含有CAPTHCA的頁面,單個開始指令和Two Factor(雙因素)驗證機

f 高速爬行程序檢測web服務器類型和應用程序語言

j 智能爬行程序檢測web服務器類型和應用程序語言

k 端口掃描web 服務器并對服務器上運行的網絡服務執行安全檢查

l 可導出網站漏洞文件

 

 

掃描配置

AcuSensor:Acunetix傳感器機制,可提升漏洞審查能力,需要在網站上安裝文件,目前主要針對ASP NET/PHP

Blind SQL Injection:盲注掃描

CSRF:檢查跨域訪問

Default:默認配置(均檢測)

Directory And File Checks:目錄與文件檢測

Empty:不使用任何檢測

File Upload:文件上傳檢測

GHDB:利用Google hacking數據庫檢測

High Risk Alerts:高風險警告

Network Scripts:網絡腳本

Parameter Manipulation:參數操作

Text Search:文本搜索

Weak Passwords:弱口令

Web Applications:Web應用程序

Xss:跨站檢測

 

 

 

AWVS使用

技術分享圖片

 

網站爬蟲(Site Crawler)

技術分享圖片

 

點擊Start對所輸入的URL進行爬取,但是有的頁面需要登錄,不登錄有些文件爬不到,就可以選擇可以登錄的login sequence進行登錄(login sequence在處Application Settings處詳細說明),爬網結果可以保存為cwl文件,以便后續站點掃描使用

 

 

目標發現(Target Finder) Acunetix

可以指定IP地址段進行端口掃描(類似于Nmap),可以用與信息收集。

進行了端口掃描后會進行服務發現,得到端口上對應的服務

技術分享圖片

 

 

 子域名發現(Subdomain Scanner)

用DNS進行域名解析,找域名下的子域及其主機名(用于信息收集)

可選擇使用操作系統默認配置的DNS服務器或自定義的一個DNS服務器(谷歌:8.8.8.8

技術分享圖片

 

 

 盲注工具(Blind SQL Injector

在相應參數位置按+添加注入點,讓AWVS進行注入探測,可以dump有sql漏洞的數據庫內容

技術分享圖片
 
 


HTTP編輯器(HTTP Editor)

和BP repeater類似,可以進行手動漏洞挖掘探測。

Enocoder tool中可以進行各種加密解密

技術分享圖片
 

HTTP嗅探(HTTP sniffer)

和BP proxy類似,首先要設置代理(Application Settings->HTTP Sniffer),截取數據包,修改數據包提交或者丟棄。

利用代理功能進行手動爬網(保存為slg文件,在Site Crawler頁面點擊Build structure from HTTP sniffer log),得到自動爬網爬取不到的文件

 

 

HTTP Fuzzer

類似于BP intruder,進行暴力破解,點擊+選擇類型,點擊insert插入

注意:插入字母的時候選取字母的范圍填寫的是字母對應的ASCII碼

技術分享圖片

 

 

驗證測試(Authentication Tester)

驗證測試,用于嘗試破解破解賬戶密碼。Acunetix

基于表單的認證方法要點擊Select 選擇表單的哪一部分是用戶名,那一部分是密碼

結果比較(Compare Results) Acunetix

可以用不同用戶登錄后結果進行比較,和BP Compare類似

技術分享圖片

 

 

 AWVS配置

 

 應用設置(Application Settings

技術分享圖片

 

 整數配置(Client Certifications)

 有些Web Application需要客戶端證書才能進行掃描。
Login Sequence Manger:

技術分享圖片

 

類似于把登陸過程進行錄像,下面進行制作Login Sequence :

1、首先輸入一個要進行登錄的URL,點擊Next

2、類似于使用瀏覽器,輸入用戶名和密碼:

3、點擊登錄過程中的限制(如退出鏈接常需要限制);

4、輸入驗證登錄成功或失敗的標志;

5、Review

(AVWS站點掃描中可以選擇login sequence、在Site Crawling處也可以選擇login sequence)

 

 

 探測器部署(AcuSensor Deployment)

要在服務器端布置angent進行掃描的一種獨特的掃描方式技術分享圖片

 

 

掃描設置(Scan Settings)

技術分享圖片

 

 

 

站點掃描 awvs使用方法

 

1、點擊New Scan

技術分享圖片

 

技術分享圖片

 

2、點擊掃描配置就是Scan Setting頁面

3、發現目標服務器基本信息

4、是否需要登錄,可以使用login sequence

5、finish,掃描結果可以保存為wvs文件,還能把結果制作成報表

 

技術分享圖片

 

 6..掃描完成之后,可以將報告導出來。點擊菜單中的“Report”

技術分享圖片

 

 

 












web漏洞掃描工具AWVS使用

標簽:提升   網絡   main   使用方法   php   insert   爬取   漏洞挖掘   客戶端   

原文地址:https://www.cnblogs.com/-wenli/p/9781098.html

(0)
(1)
   
舉報
評論 一句話評論(0
登錄后才能評論!
? 2014 mamicode.com 版權所有 京ICP備13008772號-2
迷上了代碼!
公式规律下期单双