漏洞扫描
漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测(渗透攻击)行为
常见漏洞扫描工具
网络上公布的付费的或者免费的漏洞扫描工具、脚本多种多样
- 针对某类漏洞的: sql注入(sqlmap) . weblogic (weblogicscan)
- 针对某类CMS的: wordpress (wpscan) . dedecms (dedecmsscan)
- 针对系统应用层: nessus
- 针对某类框架的:Struts2 (Struts2漏洞检查工具)、springboot (SB-Actuator)
- 针对web服务的: burpsuite、xray、awvs
AWVS
本篇文章主要讲讲AWVS的使用
Acunetix Web Vulnerability Scanner(简称AWVS))是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞
从11.0版本开始,AWVS就变成了使用浏览器端打开的形式,使用安装时自定义的端口来访问
AWVS功能特点
- WebScanner:核心功能,web安全漏洞扫描(深度,宽度,限制20个)
- Site Crawler:爬虫功能,遍历站点目录结构
- Target Finder :端口扫描,找出web服务器(80、443)
- Subdomian Scanner子域名扫描器,利用DNS查询
- Blind SQL Injector :盲注工具
- Http Editor http:协议数据包