AWVS教程

AWVS安装教程与基本使用方法

一、安装教程

这里以AWVS11为例，下载方法可以从官网下载,免费版本也可以从GitHub上找

1. 双击安装包出现下面界面，填写邮箱、密码点击下一步。
   

2. 点击下一步后让你填写端口号，默认端口号问3443如果你不想用可以更改以防止端口冲突
   

3. 这一步是询问你是否需要在桌面添加快捷方式一般默认勾选
   

4. 阅读它的使用协议然后点击下一步
   

5. 安装完成
   

6. 双击桌面快捷方式打开AWVS界面，新版本的AWVS没有了以前的程序界面现在全部都是web界面，输入在第一步填写的邮箱地址和密码登录就可以了
   

二、AWVS使用教程

AWVS简介

相较于大容量的AppScan，AWVS显得比较轻量级，安装包大概100M，扫描速度比较有优势，所包含的扫描漏洞类型也比较齐全，可以把两款工具结合一起使用。

AWVS是一款Web漏洞扫描工具，通过网络爬虫测试网站安全，检测流行的Web应用攻击，如跨站脚本、sql 注入等。据统计，75% 的互联网攻击目标是基于Web的应用程序。更新以后AWVS从以前的程序化界面升级到了web界面化，界面更整洁使用更流畅，对用户更加友好。

AWVS主要功能模块

• Blind SQL Injector：盲注工具

• HTTP Editor：http协议数据包编辑器

• WebScanner：Web安全漏洞扫描（核心功能）

• Site Crawler：遍历站点目录结构（爬虫功能）

• HTTP Sniffer：HTTP协议嗅探器

• HTTP Fuzzer：模糊测试工具

• Authentication Tester：Web认证破解工具

• Target Finder：端口扫描，找出web服务器端口（如80，443）

• Subdomain Scanner：子域名扫描器，利用DNS查询使用方法

AVWS安全扫描操作方法

1. 新建扫描，输入要测试扫描的地址
   

2. 点击Scan开始扫描，有的测试网站需要你提前登录才能扫描，这样就先设置好登录页面的账号和密码
   

3. 设置扫描时的UA
   

4. 设置扫描选项，一般选择全扫，也可以根据你当前需要设置为你需要的扫描类型
   

5. 查看扫描结果，扫描结果一般分为高危、中危、低危和无风险，也能扫描网站的ip地址、服务器版本、用什么语言编写。点击相应的漏洞可以查看漏洞的类型、修复方法、能有什么危害。
   

6. AWVS在扫描结束后还可以根据不同要求不同阅读方式，可生成不同类型的报告和细则，然后点击导出报告图标即可导出此次安全扫描报告，一般情况下不推荐使用AWVS导出的报告来作为这次渗透测试的报告。

三、结果分析

同样的，扫描结果并不代表完全真实可靠，还需要依靠人工再次验证判断。在AWVS扫描结果基础上，根据不同的严重级别进行排序、手工+工具验证的方式对漏洞验证可靠性，排除误报的情况，并尽可能找出漏报的情况，把本次扫描结果汇总，对以上已验证存在的安全漏洞排列优先级、漏洞威胁程度，并提出每个漏洞的修复建议，总的来说我们可以借助这个工具来进行扫描分析，但不能完全依赖于这个工具。编写渗透测试报告时可以根据扫描结果对测试网站做出合理判断，然后，再把此次渗透测试报告提交给项目负责人，由负责人决定哪些漏洞转给开发工程师修复，而后再由安全测试工程师进行回归验证修复的状况