简介
AWVS是自动化应用程序安全测试工具,支持windows平台,主要用于扫描web应用程序上的安全问题,如SQL注入,XSS,目录遍历,命令注入等。这里介绍AWVS10.5版本,读者可以安装最新版本,功能上没有太大变化
功能使用
Web扫描器
AWVS的核心功能扫描器,扫描脚本,参数,时间等都可以定制。用于可以根据需要配置,最后扫描出来可以将扫描内容导出为wvs格式 。
站点爬取
类似BurpSuite的Spider功能,当爬取文件和目录时,可以配置要包含和排除的文件类型
目标查找
可以扫描出一个IP是否提供web服务,是否开启80,443端口。功能比较鸡肋,使用Nmap等扫描工具可以扫描出更加详细的信息。
子域名扫描
根据DNS纪录搜索目标域名的子域名
HTTP编辑器
类似BurpSuite的重放功能,将请求截取后,修改内容,然后重新发送
HTTP嗅探
类似BurpSuite的proxy代理功能,用于抓取本地浏览进行分析,需要设置代理端口
HTTP模糊测试
认证信息的爆破,功能与BurpSuite的Intruder类似,还有一些其他的小功能,读者可以自行探索一下。
小结
AWVS作为一款傻瓜式的web漏扫工具,功能使用比较简单,但是功能十分强大,足以进行专业的漏洞扫描。主要的功能就是web扫描器。可以与Burp Suite一起使用,得到更加全面的漏洞信息。希望学习BurpSuite可以参考我的BurpSuite教程