AWVS-Web漏洞扫描工具

一、AWVS简介

Acunetix Web Vulnerability Scanner（简称AWVS）是一个自动化的Web漏洞扫描工具，它可以扫描任何通过Web浏览器访问和遵循HTTP/HTTPS规则的Web站点。

AWVS原理是基于漏洞匹配方法，通过网络爬虫测试你的网站安全，检测流行安全漏洞。

AWVS可以检测什么漏洞，它有什么优势？

AWVS可以通过SQL注入攻击、XSS（跨站脚本攻击）、目录遍历、代码执行等漏洞来审核web应用程序的安全性并输出扫描报告。相对于手动测试的复杂和耗时，它能快速的发现漏洞来提高效率和漏洞覆盖面。

AWVS操作简单，很适合初学者来学习和掌握。

二、安装 AWVS

1、直接将下好的awvs文件右键提取解压

链接: https://pan.baidu.com/s/1r-hluqrxGScESv5OQWRrtw  密码: cl8q

2、给awvs和破解程序分配权限

kali终端运行命令：chmod 777 filename（文件名）

kali里面每个用户的角色和权限划分的很细致也很严格，而操作文件或目录的用户，有3种不同类型：文件所有者、群组用户、其他用户。777分别对应三种用户，7表示可读4可写2可执行1的权限值之和

chmod 777 acunetix_trial.sh ：赋予awvs文件权限

chmod 777 patch_awvs：赋予激活文件权限

3、进入到文件所在的目录，输入./ acunetix_trial.sh  直接运行安装 （./表示当前目录） 

4、激活配置

把激活文件patch_awvs复制到/home/acunetix/.acunetix_trial/v_190325161/scanner/下

命令：

cp patch_awvs /home/acunetix/.acunetix_trial/v_190325161/scanner/

进入刚复制一份的路径下:

cd /home/acunetix/.acunetix_trial/v_190325161/scanner/

激活命令：

 ./patch_awvs

 

三、AWVS的案例扫描

开启AWVS

1、打开kali，开启AWVS服务

       开启服务：service acunetix_trial start

       查看服务状态：  

       状态为active（running）表示开启

2、用浏览器打开Awvs的客户端

       https://(kali的IP地址):13443

       (13443为linux下awvs的默认端口，3443是windows下awvs的默认端口)

3、输入安装时的邮箱账号和密码登陆

AWVS的左侧功能模块主要为六个:

1、Dashboard：仪表盘模块，你扫描过的网站的一些漏洞信息这里会显示

2、Targets：目标模块，就是你要扫描的目标网站

3、Vulnerabilities：漏洞模块，显示扫描的漏洞详情

4、Scans：扫描模块，从Target里面选择目标站点进行扫描

5、Reports：报告模块，漏洞扫描完之后的报告

6、Settings：设置模块，就是软件的一些设置，包括软件更新，代理设置等等

 

 扫描测试

1、添加Target ：填写目标的域名或者IP

2、设置扫描选项：

扫描速度Scan Speed（越慢则越仔细）、站点是否需要登陆Site Login、针对不同Web站点的扫描插件AcuSensor(能帮助搜集到更多信息）等

3、设置扫描类型和扫描时间

4、保存设置，点击Create Scan开始扫描

 

四、分析AWVS扫描报告

五、AWVS常见问题

1、windows下支持安装AWVS吗?

支持

2、AWVS忘记了密码怎么办，需要重新安装吗？

不需要，可以进入kali的

/home/acunetix/.acunetix_trial目录下，

运行change_credentials.sh，可以直接重置密码