AWVS基本用法

最新推荐文章于 2024-02-27 09:11:08 发布
最新推荐文章于 2024-02-27 09:11:08 发布
阅读量7w 收藏 131
点赞数 28
分类专栏: 工具 文章标签: 测试 安全漏洞 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lynnlinlin/article/details/52947526
版权

什么是AWVS

Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞,现已更新到10。(下面用的是AWVS9)

AWVS用法比较简单,先对工具一个一个来说明~

工具

Site Crawler

这里写图片描述
点击Start对所输入的URL进行爬取,但是有的页面需要登录,不登录有些文件爬不到,就可以选择可以登录的login sequence进行登录(login sequence在处Application Settings处详细说明),爬网结果可以保存为cwl文件,以便后续站点扫描使用。

Target Finder

Target Finder 页面
可以指定IP地址段进行端口扫描(类似于Nmap),可以用与信息收集。
进行了端口扫描后会进行服务发现,得到端口上对应的服务。

Subdomain Scanner

用DNS进行域名解析,找域名下的子域及其主机名(用于信息收集)
可选择使用操作系统默认配置的DNS服务器或自定义的一个DNS服务器(谷歌:8.8.8.8)
Subdomain Scanner页面

Blind SQL Injector

Blind SQL Injector页面
在相应参数位置按+添加注入点,让AWVS进行注入探测,可以dump有sql漏洞的数据库内容。

HTTP Editor

HTTP Editor
和BP repeater类似,可以进行手动漏洞挖掘探测。
Enocoder tool中可以进行各种加密解密。

HTTP Sniffer

和BP proxy类似,首先要设置代理(Application Settings->HTTP Sniffer),截取数据包,修改数据包提交或者丢弃。
利用代理功能进行手动爬网(保存为slg文件,在Site Crawler页面点击Build structure from HTTP sniffer log),得到自动爬网爬取不到的文件。

HTTP Fuzzer

HTTP Fuzzer 页面
类似于BP intruder,进行暴力破解,点击+选择类型,点击insert插入
注意:插入字母的时候选取字母的范围填写的是字母对应的ASCII码。

Authentication Tester

Authentication Tester 页面
认证测试,用于尝试破解破解账户密码。
基于表单的认证方法要点击Select 选择表单的哪一部分是用户名,那一部分是密码。

Compare Results

可以用不同用户登录后结果进行比较,和BP Compare类似。

Configuration

Application Settings

程序本身的设置
Application Settings页面
Client Certifications:

有些Web Application需要客户端证书才能进行扫描。
Login Sequence Manger:

类似于把登陆过程进行录像,下面进行制作Login Sequence :
1、首先输入一个要进行登录的URL,点击Next
2、类似于使用浏览器,输入用户名和密码:
Login Sequence2
3、点击登录过程中的限制(如退出链接常需要限制);
4、输入验证登录成功或失败的标志;
5、Review
(AVWS站点扫描中可以选择login sequence、在Site Crawling处也可以选择login sequence)

AcuSensor Deployment:

要在服务器端布置angent进行扫描的一种独特的扫描方式

AcuSensor Deployment指明如何部署angent到服务端,

这里写图片描述

点击生成AcuSensor后可以将对应的文件放置到服务器,放置到服务器后要更改文件的属主和属组:

这里写图片描述

修改.htaccess或php.ini使得agent在服务器上部署生效,这里改php.ini的auto_prepend_file为上述文件路径:

php_value auto_prepend_file ‘[path to acu_phpaspect.php file]’

这里写图片描述

保存修改后需要重启apache服务

这里写图片描述

通过awvs作为客户端连接agent:

测试AcuSensor输入password:

这里写图片描述

输入url:

这里写图片描述

配置成功时有如下响应:

这里写图片描述

就可以在扫描的时候使用:

点击New Scan,在AcuSensor Setup处设置:

这里写图片描述

这里写图片描述

选择好后再进行的扫描就是利用AcuSensor的一种灰盒的方式进行扫描。

Scan Settings

Scan Settings
Google hacking database基于搜索引擎的信息收集:谷歌黑客数据库,但需要设置代理(LAN Settings)。

Web services

AWVS对Web Service也可以进行扫描。

对于AWVS最常用的应该就是站点扫描了

站点扫描

1、点击New Scan
站点扫描1
如上述Site Crawler保存的cwl文件可以用在这里。

站点扫描2

2、点击扫描配置就是Scan Setting页面

3、发现目标服务器基本信息

4、是否需要登录,可以使用login sequence

5、finish,扫描结果可以保存为wvs文件,还能把结果制作成报表

站点扫描结果
扫描的结果能看到发现漏洞所用的payload,对应的HTTP头信息、HTML、可发送到HTTP Editor中等……

AWVS基本用法大概就是这样了~

lynnlinlin
关注
  • 28
    点赞
  • 131
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
Awvs API接口文档
11-20
整理网络资源,根据网络上的相关文档结合自己的实际操作整理的AWVS11的API接口文档,官方的API接口文档是商务付费的,所以只能自己整理。我所使用的接口测试工具为curl,curl的具体安装和相关参数请度娘。核心参考文档请看附件。如果遇到了报文编码问题,请更换其他可以指定报文字符集的工具或用代码自己实现。
AWVS多平台安装(保姆级)教程
Python_0011的博客
02-23 7674
Acunetix Web Vulnerability Scanner(简称 AWVS) 是一款知名的自动化网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞。它可以扫描任何可通过 Web浏览器访问的和遵循 HTTP/HTTPS 规则的 Web站点和 Web 应用程序。我们在看视频学习的时候,不能光动眼动脑不动手,比较科学的学习方法是在理解之后运用它们,这时候练手项目就很适合了。学习黑客常用的开发软件都在这里了,给大家节省了很多时间。**********推荐的邮箱和密码**********
AWVS密码重置方法
最新发布
Fly_鹏程万里
02-27 632
我们在安装完AWVS之后有时候可能会长期不用,而下次使用的时候会忘记之前的密码导致无法进行登录认证,此时我们可以使用AWVS自带的应用程序实现密码重置的操作,本篇文章主要对此步骤进行简单的介绍与演示说明。
AWVS使用手册教程
10-18
AWVS使用手册,详细描述了该工具的使用,英文版,但稍有功底都可看懂。
用于解决awvs无法正常扫描问题
03-03
用于解决awvs无法正常扫描问题 用于解决awvs无法正常扫描问题 用于解决awvs无法正常扫描问题 用于解决awvs无法正常扫描问题 用于解决awvs无法正常扫描问题 用于解决awvs无法正常扫描问题 vv用于解决awvs无法正常扫描问题用于解决awvs无法正常扫描问题用于解决awvs无法正常扫描问题用于解决awvs无法正常扫描问题用于解决awvs无法正常扫描问题用于解决awvs无法正常扫描问题用于解决awvs无法正常扫描问题用于解决awvs无法正常扫描问题用于解决awvs无法正常扫描问题用于解决awvs无法正常扫描问题用于解决awvs无法正常扫描问题用于解决awvs无法正常扫描问题用于解决awvs无法正常扫描问题用于解决awvs无法正常扫描问题用于解决awvs无法正常扫描问题用于解决awvs无法正常扫描问题用于解决awvs无法正常扫描问题用于解决awvs无法正常扫描问题用于解决awvs无法正常扫描问题用于解决awvs无法正常扫描问题用于解决awvs无法正常扫描问题 windows
漏洞扫描器AWVS史上最全教程
大河之犬的博客
08-07 992
联动:如何快速安装和部署AWVS联动:Goby+AWVS 实现联动攻击面检测AWVS是指"Acunetix Web Vulnerability Scanner",是一款广为人知的网络应用程序安全扫描器。它被用于检测和评估网络应用程序中的安全漏洞和弱点。AWVS可以自动扫描和识别常见的网络漏洞,并提供详细的报告,帮助网站管理员和开发人员发现和修复安全问题扫描整个网络,通过跟踪站点上的所有链接和robots.txt来实现扫描,扫描后AWVS就会映射出站点的结构并显示每个文件的细节信息。
settings.ini
01-23
安全
漏洞扫描软件AWVS的介绍和使用
dzqxwzoe的博客
02-04 5874
AWVS扫描结果基础上,根据不同的严重级别进行排序、手工+工具验证的方式对漏洞验证可靠性,排除误报的情况,并尽可能找出漏报的情况,把本次扫描结果汇总,对以上已验证存在的安全漏洞排列优先级、漏洞威胁程度,并提出每个漏洞的修复建议。浏览器带着用户的cookie信息访问了网站A,因为网站A不知道是用户自身发出的请求还是危险网站B发出的请求,所以就会处理危险网站B的请求,这样就完成了模拟用户操作的目的。得分7-10分的漏洞通常被认为比较严重,得分在4-6.9分之间的是中级漏洞,0-3.9分的则是低级漏洞
渗透测试神器AWVS使用教程
热门推荐
天乐的博客
02-17 2万+
简介: Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的自动化网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞。它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序。适用于任何中小型和大型企业的内联网、外延网和面向客户、雇员、厂商和其它人员的Web网站。WVS可以通过检查SQL注入攻击漏洞、XSS跨站脚本攻击漏洞漏洞来审核Web应用程序的安全性。 AWVS官网:https://www.acune
AWVS漏洞扫描工具 AWVS 安装与使用教学
shandongjiushen的博客
06-09 4363
AWVS使用教程
AWVS使用手册 (全)
Dasdwer的博客
05-26 4864
Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的Web网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞。,官方免费下载的是试用14天的版本。这里我们以V10.5破解版来讲解。功能以及特点:a)、自动的客户端脚本分析器,允许对 Ajax 和 Web 2.0 应用程序进行安全性测试。b)、业内最先进且深入的 SQL 注入和跨站脚本测试c)、高级渗透测试工具,例如 HTTP Editor 和 HTTP Fuzzer。
AWVS14.3.2安装包
12-14
AWVS14.3.2安装包
wvsc 解决awvs无法正常扫描问题
07-08
解决awvs无法正常扫描问题
awvs安装文件.zip
01-14
kali安装awvs文件
Burp Suite详细基本用法(一):Proxy、Target模块
lynnlinlin的博客
08-05 1万+
Burp Suite可以说是Web安全工具中的瑞士军刀,打算写几篇Blog以一个小白的角度去学习Burp Suite(简称BP),有什么错误求各位大佬指出,会详细地说一下的用法,说明一下每一个部分是什么功能,主要通过图的备注来说明各个按钮是什么功能。有什么错误也希望走过路过的大佬们指出,由于是说基本用法所以比较基础,各种大佬大神可以绕过啦哈哈。
ubuntu安装mysql Mysql ERROR 1045 (28000): Access denied for user 'root'@'localhost'详细解决办法
lynnlinlin的博客
09-14 9021
使用旧的MySQL的时候通常账号为root密码为空就可以登录成功了,但最近在ubuntu服务器上安装新的MySQL后,像以前一样mysql -uroot -p,想要使用MySQL的时候会报ERROR 1045(28000),下面解释下原因,以及我的解决过程。我的MySQL版本为5.5.50,系统为ubuntu原因Mysql 出处于安全考虑,root密码已经不为空,会随机生成root密码,可以使用de
Burp Suite详细基本用法(三):Repeater、Sequencer、Decoder、Comparer模块
lynnlinlin的博客
08-22 7127
Burp Suite可以说是Web安全工具中的瑞士军刀,打算写几篇Blog以一个小白的角度去学习Burp Suite(简称BP),会详细地说一下的用法,说明一下每一个部分是什么功能,主要通过图的备注来说明各个按钮是什么功能。有什么错误也希望走过路过的大佬们指出,由于是说基本用法所以比较基础,各种大佬大神可以绕过啦哈哈。
Burp Suite详细基本用法(二):Spider、Scanner、Intruder模块
lynnlinlin的博客
08-22 6042
Burp Suite可以说是Web安全工具中的瑞士军刀,打算写几篇Blog以一个小白的角度去学习Burp Suite(简称BP),有什么错误求各位大佬指出,会详细地说一下的用法,说明一下每一个部分是什么功能,主要通过图的备注来说明各个按钮是什么功能。有什么错误也希望走过路过的大佬们指出,由于是说基本用法所以比较基础,各种大佬大神可以绕过啦哈哈。
awvs使用教程windows
07-28
AWVS(Acunetix Web Vulnerability Scanner)是一款常用的网络漏洞扫描工具,用于检测和评估Web应用程序的安全性。下面是AWVS在Windows上的使用教程: 1. 下载和安装:首先,你需要从官方网站(https://www.acunetix.com/)下载AWVS的Windows版本,并按照安装向导进行安装。 2. 启动AWVS:安装完成后,在开始菜单中找到AWVS的快捷方式并点击启动。 3. 创建新项目:在AWVS的主界面上,点击"New Scan"按钮创建一个新的扫描项目。 4. 配置目标:在创建项目后,你需要配置扫描目标。点击"Add Target"按钮,输入要扫描的目标URL,并选择扫描配置文件(可以使用默认配置)。 5. 启动扫描:配置目标后,点击"Start Scan"按钮开始扫描。AWVS将自动对目标进行漏洞扫描,并在扫描过程中生成报告。 6. 查看报告:扫描完成后,你可以在AWVS中查看生成的报告。报告将列出发现的漏洞、风险等详细信息,以及建议的修复方法。 7. 导出报告:如果需要保存或共享报告,可以将其导出为PDF、HTML或其他格式。 这是一个简单的AWVS在Windows上的使用教程。请注意,AWVS是一款商业软件,可能需要购买许可证才能获得完整的功能和支持。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值