1,AWVS
1.1AWVS介绍
Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的自动化网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞。它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序。适用于任何中小型和大型企业的内联网、外延网和面向客户、雇员、厂商和其它人员的Web网站。WVS可以通过检查SQL注入攻击漏洞、XSS跨站脚本攻击漏洞等漏洞来审核Web应用程序的安全性。
1.2.AWVS下载
该工具可在官方网站下载,但免费下载的是14天试用版本。
官网下载:AWVS
百度云下载:百度云下载 提取码:g1bm(这个连接是在网上搜的,可以用我也是用的这个。)
2.AWVS安装
AWVS的安装下载下来是.exe文件,可以安装在你想要存在的文件夹下。当然我给的百度云中是有PJ的。
2.1.AWVS安装流程
下载完成后,解压文件,双击exe文件就会自动安装,只需要安步骤下一步操作即可。最好放在Windows虚拟机中,因为是破解版所以需要严格按照默认路径配置,防止用不了。
需要填写邮箱和密码,密码需要复杂一点的,八位加大小写,不够复杂会报错。
端口就选默认的
直接一直下一步就行,就按默认路径下一步
点击安装完成后会跳转到web页面,这次不用填写什么东西直接叉了就可以了
页面叉了之后,再进行一步就可以了,之后桌面会有一个快捷方式,用的时候双击就行了。
双击自动会跳转到cmd页面检测是否安装成功
至此便安装成功了,若是粗错就去看列表里的txt文件
3,AWVS的使用(可以用edge浏览器直接翻译成汉化的)
3.1.AWVS功能模块介绍
这里只对主要模块进行介绍,因为其它的用到的也少,很多都是调试用的模块,在日常中用到的比较少。
3.1.1.Dashboard功能
翻译意思仪表盘(监视器),可以对扫描对扫描完成目标进行排列,可以单独点击进去查看详细的扫描信息;
3.1.2.Targets功能
意思就是目标,可以对扫描的目标进行添加,可以单个添加,可以多个添加或者按组添加。
在添加目标的界面中,下面可以添加其它的地址,点击后就会弹出另外一行,添加需要扫描的地址即可,在完成添加目标后,会自动跳转到扫描设置界面。
3.1.3.Vulnerabilities功能
漏洞排序功能,对扫描出来的漏洞从高危到低位降序排列。
3.1.4.Scans功能
扫描功能,可以新建扫描(自己可以配置扫描的参数),可以直接看到扫描记录,并且可以在扫描过的记录上勾选后重新扫描,其实前几个都是点击扫描的位置,有时候并非需要到这个界面,例如在添加地址后就可以直接跳转进行扫描操作。
3.1.5. Reports功能
可以对扫描的报告进行导出,有三种类型,可以直接选择,当选中后,会自动将刚刚扫描任务的结果进行输出。
3.1.6.Discovery功能
字面意思是发现,可以进行设置,有包含一些地址和组织的功能需要自己手动添加,也有排除一些地址和组织的功能,需要自己手动添加。
3.1.7.其它功能
至于其它功能,这里就不一样介绍了,感兴趣的可以去了解一下,这里就只是大概描述一下作用。
Users功能:可以添加用户和删除用户,比如在企业内使用,可能还需要设置三权。
Scan Profiles功能:扫描配置功能,可以选择对那些漏洞扫描,默认都选不用管,当然这里还可以其它的内容。
Network Scanner功能:网络扫描,这里就需要设置扫描的地址端口,账号和密码。
Issue Trackers功能:问题追踪器,如果扫描失败,进行配置,然后这个功能会尝试链接目标地址看出现什么问题。
WAFs功能:防火墙设置,可以配置web应用程序防火墙。
Email Settings功能:邮件设置,如果设置自动扫描,那么当一个任务扫描完后,会将信息通过邮件进行发送。
Engines功能:引擎,不需要管这个东西。
Excluded Hours功能:这里就是设置自动扫描是时间,可以选择什么时间进行扫描。
Proxy Settings功能:代理功能,可以设置代理。
General Settings功能:常规设置,设置日志存储时间,扫描任务的数量等等,都可以进行设置。
3.2.AWVS扫描使用
基本使用流程
3.2.1.添加扫描地址
这里可以在添加地址的位置进行添加,然后进行配置扫描,或者在仪表盘中直接添加,都可以,因为点击添加后会自动跳转,无需自己点。
3.2.2.添加目标
这里添加一个扫描目标,当然不单单只能添加一个,在界面下方有添加另一个目标,点击后,就可以添加另外一个了。描述就看你写不写了,随意,这里我就写一个试验。
输入好之后点save
3.2.3.目标设置介绍
在保存后,会自动跳转到目标设置,这里有一些信息是可选的,我就简要的提一下重要的内容,或者你直接选择默认扫描也行。这里我放一个界面,由于后面的展示会覆盖,可以让其方便看。
3.2.3.1.业务关键性
这里的业务关键性其实也就是说,业务的重要性,这个不太清楚,设置不同有什么区别,是不是说,越重要扫描的就越认真呢?有的页面可以直接翻译,有的不能翻译就对照这张图调。
3.2.3.2.默认扫描配置文件
这个就是看你想要选择扫哪些了,可以设置单项的也可以设置第一个完全扫描,也就是默认扫描。
当然这里也是取决于Scan Profiles功能中定义的,可以直接去了解一下,通常是不需要设置的,直接默认。
3.2.3.3.扫描速度
这里就是设置扫描的速度了,简单来说就是需要考虑,如果选择快,是不是把你的服务器搞挂了,或者崩了,很简单的理解。下面的红色杠杠就是扫描速度。
3.2.4.目标设置完成
这里我就简单一点,都是默认,当设置好后,先点击save保存,然后点击扫描,不然会提示有任务未保存。
3.2.5.扫描选项
这里选择默认也行,具体的自己去了解吧,像报告都是可以后期设置的,无所谓,简单来说就是省一步而已,设置完后点击创建扫描,就开始进行扫描了,只需要耐心等待结果即可。
3.2.6.扫描界面
点击创建扫描后,会自动跳转到这个界面,在这个界面中能够看到一些详细的信息。
比如危险等级、扫描进度、扫描时间、请求次数、漏洞情况、目标基础信息等详情。
3.2.7.扫描结束
扫描结束后就可以查看了,但是肯定各位更关注漏洞,那么就可以去漏洞页面去查看相关漏洞了。
3.2.8.漏洞相关
当你觉得这个漏洞有问题的时候可以,对当漏洞进行复检。
3.2.9.创建报告
若你觉得没有什么问题了,那么就可以创建报告了,来到报告位置,点击上面的新报告,选择一个类型报告就可以了,我这里直接选择扫描报告,选择好后,就可以在页面上看到刚刚的任务报告了。
3.2.10.导出报告
这里也有很多的格式选择,但是这里的类型基本上都是表格形式,点击后会过个几秒钟就会自动下载。
412
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
