python扫描app_Python实现Awvs自动化扫描

最新推荐文章于 2023-11-09 14:01:18 发布
最新推荐文章于 2023-11-09 14:01:18 发布
阅读量234 收藏
点赞数
文章标签: python扫描app
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39782832/article/details/113982042
版权
该脚本使用Python实现Awvs自动化扫描,并将扫描结果写入MySQL数据库。首先,通过ODBC连接Access数据库读取扫描结果,然后根据危害等级筛选高危漏洞,再对漏洞类型和URL进行处理,最后将数据插入到MySQL数据库中,同时进行了去重处理。此外,脚本还包含了每天扫描数据库的备份功能。
摘要由CSDN通过智能技术生成

#coding:UTF-8

import subprocess

import os,time,shutil,sys

import win32com.client

import MySQLdb

import re,hashlib

reload(sys)

sys.setdefaultencoding('utf-8')

#需要先在win服务器设置odbc源,指向access文件。实际用pyodbc模块可能更好一些

def writeinmysql():

conn = win32com.client.Dispatch(r'ADODB.Connection')

DSN = 'PROVIDER=Microsoft Access Driver (*.mdb, *.accdb)'

conn.Open('awvs')

cur=conn.cursor()

rs = win32com.client.Dispatch(r'ADODB.Recordset')

rs.Open('[WVS_alerts]', conn, 1, 3)

if rs.recordcount == 0:

exit()

#遍历所有的结果,cmp进行筛选危害等级为3的,也就是高危

while not rs.eof:

severity = str(rs('severity'))

if cmp('3', severity):

rs.movenext

continue

vultype = rs('algroup')

vulfile=rs('affects')

#由于mysql库中要求的漏洞类型和access的名称有点差别,所以还需要对漏洞类型和危害等级进行二次命名,sql注入和xss为例

xss='Cross site'

sqlinject='injection'

if xss in str(vultype):

vultype='XSS'

level='低危'

elif sqlinject in str(vultype):

vultype="SQL注入"

level='高危'

else:

level='中危'

#拼凑出漏洞测试url,用了正则表达式, post和get类型的request请求是不同的

params = rs('parameter')

ss = str(rs('request'))

str1 = ss[0:4]

if 'POST'== str1:

requestType = 'POST'

regex = 'POST (.*?) HTTP/1\.\d+'

str1 = re.findall(regex, ss);

else:

requestType = 'GET'

regex = 'GET (.*?) HTTP/1\.\d+'

str1 = re.findall(regex, ss);

regex = 'Host:(.*?)\r\n'

host = re.findall(regex, ss);

if host == []:

host = ''

else:

host = host[0].strip()

if str1 == []:

str1 = ''

else:

str1 = str1[0]

url =host + str1

timex=time.strftime('%Y-%m-%d',time.localtime(time.time()))

status=0

scanner='Awvs'

comment=''

db = MySQLdb.connect(host="10.1.1.1", user="root", passwd="12345678", db="wvsdb",charset='utf8')

cursor = db.cursor()

sql = 'insert into vuls(status,comment,vultype,url,host,params,level,scanner) values(%s,%s,%s,%s,%s,%s,%s,%s)'

values =[status,comment,vultype,'http://'+url.lstrip(),host,params,level,scanner]

#入库的时候又进行了去重,确保mysql库中没有存在该条漏洞记录,跟本地保存的vulhash进行比对,感觉这种方法很原始。

hashvalue=str(values[2])+str(values[4])+str(vulfile)+str(values[5])

vulhash=hashlib.new('md5',hashvalue).hexdigest()

vulhash=vulhash+'\n'

file=open(r'D:\Wvscan\vulhash.txt','a+')

if vulhash in file.readlines():

pass

else:

file.write(vulhash+'\n')

cursor.execute(sql, values)

delsql='delete from vuls where vultype like %s or vultype like %s'

delvaluea='Slow HTTP%'

delvalueb='Host header%'

delinfo=[delvaluea,delvalueb]

cursor.execute(delsql,delinfo)

db.commit()

rs.movenext

rs.close

conn.close

cursor.close()

db.close()

if __name_=='__main__':

writeinmysql()

time.sleep(10)

#备份每天的扫描数据库,用原始数据库替换,方便第二天继续保存。

datanow=time.strftime('%Y-%m-%d',time.localtime(time.time()))

filetype='.mdb'

urlfilename=datanow+filetype

path="D:\wvscan\databak\\"

databakfile=path+urlfilename

shutil.copyfile(r'D:\Wvscan\data\vulnscanresults.mdb',databakfile)

shutil.copyfile(r'D:\Wvscan\vulnscanresults.mdb',r'D:\Wvscan\data\vulnscanresults.mdb')

weixin_39782832
关注
【愚公系列】2023年06月 网络安全高级班 025.HW护网行动攻防演练介绍和工具
时光隧道
05-12 9739
HW护网行动攻防演练是一种针对网络安全的实践活动,用于测试和提高组织的网络安全防御和攻击能力。通过模拟真实的网络攻击和防御行动,演练参与者在紧张压力下的反应和解决问题的能力,发现网络安全漏洞和提高安全意识,加强网络安全防御能力。攻防演练的成员组成一般包括攻击者、防御者和观察者三个角色。攻击者的任务是模拟真实的黑客攻击,找出系统的漏洞并利用其进行攻击,以检验系统的安全性。防御者则负责发现和修补漏洞,并保护系统不受攻击。观察者则负责记录和分析整个攻防过程,并提供建议和改进意见。
python实现md5_Android APK资源分析之Python实现
weixin_39630735的博客
11-21 525
背景随着业务的快速迭代增长,京东主站APP不断加入新的代码、图片资源、第三方SDK、React Native等等,直接导致APK体积不断增加。APK体积增长也会带来诸多问题,例如:推广费用增加,用户下载意愿降低,流量费用增加,下载及安装成功率降低,甚至可能会影响用户留存率;应用市场限制,Google Play规定安装包上限为100M。所以APK瘦身已经是迫在眉睫的事情。在尝试瘦身过程中,...
Python实现Awvs自动化扫描
weixin_34292287的博客
07-03 1456
最近再做一个python的小程序,主要功能是实现Acuenetix Web Vulnerability Scanner的自动化扫描,批量对一些目标进行扫描,然后对扫描结果写入mysql数据库。写这篇文章,分享一下一些思路。   程序主要分三个功能模块,Url下载、批量扫描、结果入库,   有一个另外独立的程序,在流量镜像服务上进行抓包,抓取Http协议...
pc端扫码软件:python+mysql
weixin_38168322的博客
10-23 187
开发平台:python自带IDEA,本次采用版本为python3.6.1 用到的另外下载的py文件:pymysql,pyodbc,PyInstaller,pypiwin32_system32。 做好的安装包已上传百度云:链接:http://pan.baidu.com/s/1dFNFbSt 密码:4g6x 上官网下载32位3.6.1的python版本(64位需要改名字,亲测也ok,推...
pythonweb扫描_Python实现Awvs自动化扫描
weixin_39987120的博客
12-10 398
最近再做一个python的小程序,主要功能是实现Acuenetix Web Vulnerability Scanner的自动化扫描,批量对一些目标进行扫描,然后对扫描结果写入mysql数据库。写这篇文章,分享一下一些思路。程序主要分三个功能模块,Url下载、批量扫描、结果入库,有一个另外独立的程序,在流量镜像服务上进行抓包,抓取Http协议的包,然后对包进行筛选处理,保留一些带有各种参数的url...
【计算机毕设之基于python漏洞扫描检测系统精简版-哔哩哔哩】 https://b23.tv/w6ryWlY
laoman456的博客
11-05 3635
在漏洞泛滥的今天,互联网安全倍受挑战。只有合理配置设备,关掉不必要口和服务,及时了解最新安全动态,打好漏洞补丁加固系统,才能最大限度的减少因漏洞隐患而造成被黑客非法入侵而造成的不必要损失。主要解决内容如下:(1)收集最近几年的国内外因漏洞引起的重大安全事件,分析漏洞对系统乃至现实生活的危害,对项目的侧重方向做出一个初步方向指定。(2)以中小型网络运维人员和网络安全研究爱好者为主,结合国内该行业的变化特点,以“易部署、轻量化、低学习成本、可扩展”为特点尝试设计与开发工作。设计包含基础的用户模块、日志问题
大数据时代,自动化测试工程师的出路在哪里?
ifling99的博客
06-10 483
前段时间席卷全互联网行业的内卷现象,想必有不少人都深陷其中。其实刚开始测试行业人才往往供不应求,而在发展了十几年后,很多人涌入这个行业开始面对存量竞争。红利期过去了,仅剩内部争夺。即便如此,测试行业仍有许多隐藏的机会。因为大数据时代,测试用例量非常庞大。互联网行业需求迭代非常快,使得一个需求从提出到上线时间都非常紧急,在上线之前必须对原有功能进行回归测试。所以不管是接口还是从客户端,都需要大量的测试工作,对测试工程师的要求也越来越高。或许再过几年,自动化测试会成为从业者的准入门槛,如果做不好自动化测试,竞争
从功能测试到掌握自动化,四个月时间我是如何从点工进入互联网大厂
与君初相识,犹如故人归
12-28 347
年关了,回望2021年,你的这个2021年收获咋样啦 各大招聘网站,测试工程师月薪一万以上基本都有一个必备技能,那就是自动化测试。那么自动化测试到底难不难呢?下面我将会将我的经历讲给大家听,希望听完后,大家会有自己的一个判断。 1、知识体系化 不知不觉,入行软件测试也有五个年头。待过创业公司也待过上市公司。做过功能测试、自动化测试也做过性能测试。做过测试新人也做过测试组长。如果要是从这5年中说出最宝贵的经验,我想应该是知识体系化。那么什么是知识体系化,每个人都有不同,下面简单来谈一下我的知
开发知识点-Django
最新发布
aming小老弟
11-09 629
flask 轻手机游戏请求响应 路由MTV设计结构HTTP状态的 cookie session解释 版本。
【知乎高赞】软件测试工程师应该怎样规划自己?成为年薪30W+测试工程师(乾坤未定,皆是黑马)
公众号已改名为-程序员阿沐
08-26 663
我把我的问题回答贴出来希望可以帮助到更多有类型问题,迷茫中的测试人。
awvs13_batch_py3:针对AWVS扫描开发的批量扫描脚本,支持联动xray,burp,w13scan等被动批量
03-20
AWVS批量扫描脚本 脚本功能 完美支持AWVS13,AWVS12两个版本的API接口 支持URL批量添加扫描 支持对批量网址添加cooKie凭证进行爬虫扫描 支持结合被动扫描进行配置扫描,如: xray , w13scan , burp等扫描 支持一键删除所有任务 通过配置awvs_config.ini文件,支持自定义各种扫描参数,例如:爬虫速度,排除路径(不扫描的目录),各种cookie ,限制为仅包含地址和子目录 支持对扫描内已有目标进行批量扫描,支持自定义扫描类型 使用教程 1,配置好当前当前的awvs_config.ini文件 2,使用Python3运行awvs_add_url-v2.0.py 现在就可以根据自己需求进行扫描awvs12批量添加并设置唯一爬虫,配置好cookie等参数,发送到xray扫描扫描 AWVS安装 推荐使用Docker进行部署,个人也比
AWVSpythonAWVS接口 新建扫描并导出扫描报告(一)
热门推荐
微雨停了的博客
04-03 1万+
文章目录前言一、先上完整python代码二、AWVS介绍三、准备工作1.获取 API-KEY2.Header 设置1.接口介绍2.python代码3.屏蔽警告四、接口验证1.查看Targets扫描队列1.接口介绍2.python代码3.返回结果4.参数说明2.添加任务到Targets扫描队列,并返回target_id1.接口介绍2.python代码3.返回结果3.添加targets队列中的任务到scans1.接口介绍2.data介绍3.python代码4.发送参数说明4.获取scan_id1.接口介绍2.代
Python——奇怪的扫码登录
weixin_34418883的博客
05-27 552
最近在做 Sparrow(还在内测的一个敲好用 Mock 系统
Python实现wvs进行批量扫描
Matthew
12-13 7283
之前就看了一些文章说AWVS目录下有个wvs_console.exe, 可以利用这个接口来进行命令行的操作,Acunetix Web Vulnerability Scanner,可以开启大约10个AWVS,占用的资源是比较少的。http://www.acunetix.com/blog/docs/acunetix-wvs-cli-operation/,在这个网站上面介绍了wvs的参数说明。  
使用Python开发二维码扫描工具
pengpengsays
05-15 1024
调用摄像头需要使用到 OpenCV 模块,而识别二维码则需要使用到 pyzbar 模块。3、调用摄像头中的一帧图片。4、循环读取摄像头图片。
常见漏洞扫描工具AWVSAppScan、Nessus的使用
FisrtBqy的博客
04-10 3650
常见漏洞扫描工具AWVSAppScan、Nessus的使用
python调用AWVS api Demo
code_lab
10-09 5619
import json import ssl import urllib.request import os ssl._create_default_https_context = ssl._create_unverified_context # os.environ['http_proxy'] = 'http://127.0.0.1:8080' # os.environ['https_pro...
appscan如何扫描移动应用APP
qq_38053759的博客
04-26 8935
众所周知,appscan是一款企业级应用安全漏洞扫描,但是很多刚刚接触的小伙伴经常会有这样的疑问:appscan怎么扫描移动应用(也就是我们常说的APP)。鉴于此,特作此文以供大家参考,文中有差错或纰漏还望指正为谢。 Appscan扫描web应用时一般采用自动探索扫描和手动探索扫描两种方式,具体操作可以详见我CSDN另外一篇文章:https://blog.csdn...
Python实现扫码工具
ZackSock的博客
09-30 9450
Python实现扫码工具 二维码作为一种信息传递的工具,在当今社会发挥了重要作用。从手机用户登录到手机支付,生活的各个角落都能看到二维码的存在。那你知道二维码是怎么解析的吗?有想过自己实现一个扫码工具吗?如果想的话就继续看下去吧! ...
Python Selenium自动化测试框架实现与设计
Python_selenium自动化测试框架中,设计的核心理念是模块化和可维护性。以下是对框架各个关键组成部分的详细说明: 1. **PageObject模式**:这是框架的核心设计模式,它提倡将每个页面的元素定位和业务逻辑操作...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值