在开始之前首先严肃声明,漏扫已经算是渗透的一部分了,大家谨慎使用,一定要使用授权的网站进行扫描或者可以自己搭建环境测试。
目录
工具介绍:
Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的Web网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞。它包含有收费和免费两种版本,AWVS官方网站是:http://www.acunetix.com/,官方下载地址:Download Acunetix v14 | Acunetix
是一个自动化的web应用程序安全测试工具,审计检查漏洞。它可以扫描任何通过web浏览器访问的和遵循HTTP/HTTPS规则的web站点和web应用程序。可以通过检查检查SQL注入攻击漏洞,跨站脚本攻击漏洞等来审核web应用程序的安全性。
AWVS功能介绍:
- WebScanner:全站扫描,web安全漏洞扫描
- Site Crawler:爬虫功能,遍历站点目录结构
- Target Finder:端口扫描,找出web服务器
- Subdomain Scanner:子域名扫描器,利用DNS查询
- Blind SQL Injector:盲注工具
- HTTP Editor:http协议数据包编辑器
- HTTP Sniffer:HTTP协议嗅探器
- HTTP Fuzzer:模糊测试工具
- Authentication Tester:Web认证破解工具
- Web Service Scanner:Web服务扫描器
- Web Service Editor:Web服务编辑器
特点:
a)、自动的客本分析器,允许对Ajax和web2.0应用程序进行安全性测试
b)、业内最先进的深入的SQL注入和跨站脚本测试
c)、高级渗透测试工具,例如 Http Editor和 HTTP Fuzzer
d)、可视化宏记录器帮助您轻松测试,web表格和受密码保护的区域
e)、支持含有 CAPTHCA的页面,单个开始指令和 Two Factor(双因素)验证机制
f)、丰富的报告功能,包括VISA PCI依从性报告
h)、高速的多线程扫描器轻松检索成千上万个页面
i)、智能爬行程序检测web服务器类型和应用程序语言
j)、 Acunetix检索并分析网站,包括 flash内客、SOAP和AJAX
k)、端口扫箍web服务器并对在服务器上运行的网络服务执行安全检查
L)、可导出网站漏洞文件
安装过程:
官网付费版下载只能用15天,网上的破解版有的会存在木马不安全,大家看自己的需求下载即可。
官网下载地址:Download Acunetix v14 | Acunetix(这是14版本的,大家可以根据自己的需求去找一些安装包)
根据自己的需求选择系统,然后填写相关信息。我这个也是在网上找的安装包。(安装的时候记得关闭防护软件,否则会被误杀)
就一步一步往下走就行。
这一步设置邮箱以及密码用于web端登录,密码设置简单一点也无妨。
端口号默认3443也可自行修改。
等待安装完成即可。
Finish,安装完成会自动弹出web登录页面。
这一步是刚才设置的邮箱以及密码。
接下来准备激活。
直接点击下载包中的破解版。
安装激活完成(在这一步我是有问题的,在网上找了很多补丁都被删了,最后没有激活成功,那就用官方版试用几天吧)
简单使用:
安装的时候装了桌面小图标,直接点开就行。
在这里用DVWA环境进行测试(安装以及全级别通关过程在我的另一篇笔记中有详细介绍)
等一会儿,扫描完成结果如下图所示。
接下来导出报告
下载报告可以以不同的形式下载。
下载完成之后可以查看扫描报告。
然后可以实施登陆扫描其实也大差不差。
把这个点开,根据自己的需求选择扫描,输入网站登录所需的用户名密码,然后开始扫描,跟之前一样生成报告即可。以上就是对于AWVS的简单使用,不要疑惑为什么这么简单感觉好像没啥用,AWVS它胜就胜在简洁高效。