漏洞扫描神器—AWVS详细使用教程

已于 2024-09-05 19:06:33 修改
阅读量282 收藏 5
点赞数 4
分类专栏: 渗透测试工具集合 文章标签: 安全测试 网络安全 web安全 漏扫神器
于 2024-09-05 19:05:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lza20001103/article/details/141937821
版权

漏洞扫描神器—AWVS详细使用教程

Awvs的是一款非常好用的web漏洞扫描工具,他的扫描速度比较快,可以自己选择扫描速度,比较灵活。

AWVS为Acunetix Web Vulnarability Scanner的简称,是一款web网站漏洞探测工具,它通过网络爬虫检测网站安全,检测流量的安全漏洞。常用的就是漏洞扫描、爬取目录等。

Awvs分为老的版本和新版本,下面我介绍的是新版本的功能和用法。

**功能介绍如下:**仪表盘(监视器)功能,添加目标功能,漏洞排序功能,扫描功能,发现功能,用户功能,扫描配置功能,网络扫描功能,追踪器功能,防火墙设置,邮件设置,引擎,时间排除功能,代理功能,常规设置

主要使用的功能是前面的6个,后面的根据个人的需要进行配置

详细介绍如下:

Dashboard功能:翻译意思仪表盘(监视器),可以对扫描对扫描完成目标进行排列,可以单独点击进去查看详细的扫描信息;在这里插入图片描述
Targets功能:目标,可以对扫描的目标进行添加,可以单个添加,可以多个添加或者按组添加;在这里插入图片描述
在这里插入图片描述
Vulnerabilities功能:漏洞排序功能,对扫描出来的漏洞从高危到低位降序排列;在这里插入图片描述
Scans功能:扫描,可以新建扫描(自己可以配置扫描的参数),可以直接看到扫描记录;在这里插入图片描述
Reports功能:可以对扫描的报告进行导出;在这里插入图片描述
在这里插入图片描述

Discovery功能:字面意思是发现,可以进行设置,有包含一些地址和组织的功能需要自己手动添加,也有排除一些地址和组织的功能,需要自己手动添加;在这里插入图片描述
Users功能:可以添加用户删除用户;在这里插入图片描述
Scan Profiles功能:扫描配置功能,可以选择对那些漏洞扫描,默认都选不用管;在这里插入图片描述

Network Scanner功能:网络扫描,需要设置扫描的地址端口,账号和密码;

Issue Trackers功能:问题追踪器,如果扫描失败,进行配置,然后这个功能会尝试链接目标地址看出现什么问题;在这里插入图片描述

WAFs功能:防火墙设置,可以配置web应用程序防火墙;在这里插入图片描述
Email Settings功能:邮件设置

Engines功能:引擎

Excluded Hours功能:小时排除,可以对一些时间进行排除在这里插入图片描述

Proxy Settings功能:代理功能,可以设置代理在这里插入图片描述

General Settings功能:常规设置在这里插入图片描述

我们来看看旧版本的AWVS13,是一款比较老的版本,但是功能比较全。

1.介绍

AWVS主要有Web Scanner、Tools、Web Services、Configuration、General这几个模块,常用的基本上就是网站漏洞探测,爬取目录等。在这里插入图片描述

2、网站漏洞扫描

1.添加新的扫描,配置网站URL:http://192.168.242.133(这是搭建的一个靶机),完成之后点击下一步在这里插入图片描述
2.这里可以配置需要扫描的漏洞类型,选择Default的话就是会扫描所有类型的漏洞,如果只是像探测CSRF,可以直接选择这种类型就好了。
在这里插入图片描述
3.工具自动探测到测试的目标网站的服务器信息,在已知的情况下也可以自己选择服务器的类型,点击next。
在这里插入图片描述
4.使用默认自动注册身份的进行扫描,如果有网站账号密码可以使用进行扫描在这里插入图片描述
3、漏洞扫描结果 
查看Web Scanner扫描的结果,可以看到很多漏洞的告警信息,分别分为高、中、低、信息这四个等级,告警中会包括各种常见的漏洞信息例如代码执行、SQL注入、文件上传等各种网站的安全漏洞。在这里插入图片描述
右边的漏洞扫描的一些结果

1)所有的漏洞数据统计,分别分为高、中、低、信息这四个等级在这里插入图片描述
2)服务器主机信息在这里插入图片描述
3)扫描过程的数据信息

在这里插入图片描述
4)扫描完成及发现的情况在这里插入图片描述
4、漏洞告警分析利用

1)扫描结果中会看到各类的漏洞,这里以SQL注入盲注的漏洞为例
在这里插入图片描述
2)参考漏洞的基本描述,有些漏洞有可能不是很常见,可以作为一个参考了解在这里插入图片描述
3)漏洞利用的细节,这部分是作为后期利用重要部分,可以知道如何找到漏洞位置且知道如何进行攻击利用在这里插入图片描述

可以看到它举例如何验证存在SQL注入
root’ AND 238=68 AND ‘000L76w’=‘000L76w 为真,也就是正常页面
root’ AND 238=69 AND ‘000L76w’='000L76w 为假,也就是另一个新页面

4)请求头可以找到具体的漏洞注入位置在这里插入图片描述
==请求头可以看到具体存在注入的URL为:http://192.168.242.133/sql/example1.php?name=root
===响应头状态时200OK

5)可以看到注入点的HTML格式在这里插入图片描述
6)另外还可以看到相关的漏洞影响,如何进行漏洞修复,整个完整信息下来类似一份完整的漏洞报告。在这里插入图片描述

5、根据漏洞信息进行验证、利用

参考漏洞探测出来的结果,那直接访问web进行验证
a .这是存在注入点的URL在这里插入图片描述

b .刚才的漏洞结果的例子就是一个字符型漏洞验证的方法

http://192.168.242.133/sqli/example1.php?name=root’and ‘1’='1为真,是正常页面

在这里插入图片描述

http://192.168.242.133/sqli/example1.php?name=root’and ‘1’='2为假,页面异常,确实存在SQL注入漏洞

在这里插入图片描述
7)输出漏洞扫描报告在这里插入图片描述
漏洞报告详情,这样以报告形式看起来就很方便,内容清晰,可以作为渗透后期报告的参考
在这里插入图片描述
可以选择不同的格式输出报告
在这里插入图片描述
6、网络爬虫

1.添加URL进行网络爬虫在这里插入图片描述
2.爬虫会爬取网站的各个目录信息,那么就能知道网站存在哪些目录,这一步可以作为渗透中信息收集的一步。可以作为进一步漏洞利用的基础在这里插入图片描述
7、主机发现(c段探测)

a.可以把我的目标主机当作一个c类地址,那么范围就是192.168.242.1-254,这里只能探测80、443的服务在这里插入图片描述
8、 子域名探测

a.添加子站域名进行探测,可以看到相关的子域名,查看对应的旁站在这里插入图片描述
9、SQL注入 a.在探测到的漏洞中添加到sql注入在这里插入图片描述
b.看到发送到SQL注入在这里插入图片描述
c.添加注入,在注入点插入注入payload,然后点击开始注入就ok在这里插入图片描述
10、 HTTP头编辑

a.在漏洞扫描的结果中添加到http头编辑在这里插入图片描述
b.可以修改对应的头信息发送、查看响应内容在这里插入图片描述
11、HTTP监听拦截

a.默认监听拦截8080,开启浏览器本地代理,访问页面就可以监听在这里插入图片描述

炫彩@之星
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
漏洞扫描AWVS史上最全教程
大河之犬的博客
08-07 1550
联动:如何快速安装和部署AWVS联动:Goby+AWVS 实现联动攻击面检测AWVS是指"Acunetix Web Vulnerability Scanner",是一款广为人知的网络应用程序安全扫描器。它被用于检测和评估网络应用程序中的安全漏洞和弱点。AWVS可以自动扫描和识别常见的网络漏洞,并提供详细的报告,帮助网站管理员和开发人员发现和修复安全问题扫描整个网络,通过跟踪站点上的所有链接和robots.txt来实现扫描,扫描后AWVS就会映射出站点的结构并显示每个文件的细节信息。
漏洞自动扫描神器AWVS 11安装与使用教程
m0_49577923的博客
10-30 6133
前言 AWVS的全称是Acunetix Web Vulnerability Scanner,它是一个网站漏洞自动化扫描的神器,它可以自动化扫描Web站点和Web应用,并且检测出网站里面存在的漏洞并且还可以自动生成一份漏洞报告,此乃SRC上分冲榜的神器也。AWVS 11 版本是AWVS各个版本中操作最为简单的一款自动化扫洞神器 ,即使小白也能轻易掌握里面的操作。 本教程仅供学习参考,请勿用在非法途径上,违者后果自负,与本文作者无关。 一、安装教程 双击exe安装,然后点击next 2. 选
Web安全漏洞扫描神器-AWVS下载、安装及使用教程
weixin_57514792的博客
07-24 1276
Web安全漏洞扫描神器-AWVS下载、安装及使用教程
渗透测试神器AWVS使用教程
热门推荐
天乐的博客
02-17 3万+
简介: Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的自动化网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞。它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序。适用于任何中小型和大型企业的内联网、外延网和面向客户、雇员、厂商和其它人员的Web网站。WVS可以通过检查SQL注入攻击漏洞、XSS跨站脚本攻击漏洞等漏洞来审核Web应用程序的安全性。 AWVS官网:https://www.acune
Web漏洞扫描神器Nikto使用指南
liver100day的博客
11-18 1万+
文章目录工具简介工具下载链接nikto安装nikto基础语句指定端口进行扫描指定目录进行扫描多目标扫描其他功能扫描结果输出Nikto扫描交互参数IDS 躲避使用代理扫描后言 工具简介 Nikto是一款开源的(GPL)网页服务器扫描器,它可以对网页服务器进行全面的多种扫描,包含超过3300种有潜在危险的文件/CGIs;超过625种服务器版本;超过230种特定服务器问题。扫描项和插件可以自动更新(如果需要)。但其软件本身并不经常更新,最新和最危险的可能会检测不到。 工具下载链接 官方网站:https://cir
在kali内 安装漏洞扫描神器awvs
Y525698136的博客
01-17 1390
在kali内 安装漏洞扫描神器awvs
商业web 漏洞扫描神器———AWVS篇基础
LDF-Dicky的博客
11-07 7278
一、什么是Acunetix Web Vulnarability Scanner Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的Web网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞。它包含有收费和免费两种版本,AWVS官方网站是:http://www.acunetix.com/,目前最新版是V10.5版本,官方下载地址:ht
小白必读记——内网渗透之漏洞扫描类(AWVS工具使用)
weixin_45900492的博客
11-28 3211
扫描类必备工具,好多公司基本上都会用着的 AWVS神器 下面开始把板凳准备好: AWVS功能介绍 简介这些鸡汤我们就不说了,直接实战!!!!! 这个我会讲的很详细,全场看图 优劣势 优势:  功能灵活强大,支持多种目标,大量计算机的同时扫描;  流行,由于其具有强大的扫描机探测功能,,已被成千上万安全专家使用。 劣势:  英文界面,使用较难 1.2.1 功能介绍 AWVS是一个自动化的We...
xray-1.9.3漏洞扫描神器
11-24
《Xray-1.9.3:漏洞扫描神器详解及应用》 Xray-1.9.3是一款备受瞩目的网络安全工具,被誉为“漏洞扫描神器”。它的最新版本以其高效、易用和经济实惠的特点,受到了广大安全从业者和爱好者的热烈追捧。在网络安全...
挖洞教程之漏洞扫描
WINDY_PACE的博客
05-13 2758
联网工程任务组RFC4949[1]: 系统设计、部署、运营和管理中,可被利用于违反系统安全策略的缺陷或弱点。 中国国家标准 信息安全技术-网络安全漏洞标识与描述规范 GB/T 28458-2020[2]: 网络安全漏洞是网络产品和服务在需求分析、设计、实现、配置、测试、运行、维护等过程中,无意或有意产生的、有可能被利用的缺陷或薄弱点。
web漏洞扫描器原理_「网络安全安全设备篇(11)——漏洞扫描
weixin_39915820的博客
10-28 1826
什么是漏洞扫描漏洞扫描器就是扫描漏洞的工具,它能够及早暴露网络上潜在的威胁,有助于加强系统的安全性。漏洞扫描除了能扫描端口,还能够发现系统存活情况,以及哪些服务在运行。漏洞扫描器本质上是一类自动检测本地或远程主机安全弱点的程序,能够快速的准确的发现扫描目标存在的漏洞,例如,SQL注入,XSS攻击,CSRF攻击等,并提供给使用者扫描结果,提前探知到漏洞,预先修复。在渗透过程中,一个好的漏洞扫描器在...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8445
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
网络安全】逻辑漏洞:绕过应用程序重要功能
等风来
09-01 211
拦截请求,将其发送到 Burp 中的 Repeater,当我尝试重放请求时,我收到了“ 500 响应”,表示出现错误
网络安全】服务基础第一阶段——第八节:Windows系统管理基础---- Web服务与虚拟主机
goldfish8848的博客
08-31 1490
万维网WWW是World Wide Web的简称,也称为Web、3W等。WWW是基于客户机/服务器方式的信息发现技术和超文本技术的综合。WWW服务器通过超文本标记语言(HTML)把信息组织称为图文并茂的超文本,利用连接从一个站点跳到另一个站点。这样一来就彻底摆脱了以前查询工具只能按特定路径一步步的查找信息的限制WWW(World Wide Web,万维网)是存储在Internet计算机中数量巨大的文档的集合。这些文档称为页面,它是一种超文本(Hypertext)信息,可以用来描述超媒体。
【Python常用库_1】网络安全清洁专家——Bleach
最新发布
cqy阳的博客
09-04 697
【Python常用库_1】网络安全清洁专家——Bleach
网络安全】漏洞挖掘
anquan2233的博客
08-29 1514
在springframeworl/expression/spel/stand/InternalSpelExpressionParser/doParseExpression()方法中、会在tokenizer.process()中 对token进行 源码与字节码的判断操作、继续向下。会进入到springframework/cloud/function/context/config/RoutingFunction/functionFromExpression()方法。Payload 的构造可以参考官方测试用例。
网络安全】服务基础第一阶段——第七节:Windows系统管理基础---- Web与FTP服务器
goldfish8848的博客
08-31 1235
将某台计算机中的⽂件通过⽹络传送到可能相距很远的另⼀台计算机中,是⼀项基本的⽹络应⽤,即⽂件传送。(File Transfer Protocol)是因特⽹上使⽤得最⼴泛的⽂件传送协议。涉及到文件的上传和下载,很多都会使用到文件传输协议。文件传输协议提供了不同主机之间的文件传输能力,允许用户进行文件的上传和下载。而对于两台主机间的通信,说到底还是两台主机的应用程序在进行通信。
网络安全(黑客)自学
白帽子凯哥聊黑客
09-04 905
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
漏扫神器Invicti使用教程
03-20
Invicti是一款专业的漏洞扫描工具,用于帮助用户发现和修复应用程序中的安全漏洞。下面是Invicti使用教程的简要介绍: 1. 登录和创建项目:首先,您需要登录Invicti平台并创建一个新项目。在项目中,您可以添加要扫描的目标应用程序和配置扫描选项。 2. 配置扫描选项:在项目设置中,您可以选择扫描的深度和范围,以及其他高级选项。您可以根据需要自定义扫描策略和规则。 3. 运行扫描:配置完毕后,您可以开始运行扫描。Invicti将自动对目标应用程序进行漏洞扫描,并生成详细的报告。 4. 分析和修复漏洞:一旦扫描完成,您可以查看生成的报告。报告将列出发现的漏洞及其严重程度。您可以根据报告中的建议来修复这些漏洞。 5. 定期扫描和持续监控:为了保持应用程序的安全性,建议定期运行漏洞扫描,并持续监控新的漏洞。 请注意,以上只是Invicti使用教程的简要介绍,实际操作可能会更加复杂和详细。建议您参考Invicti官方文档或联系Invicti支持团队获取更详细的使用指南。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

炫彩@之星

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值