一、什么是AWVS ?
Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的Web网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞。
二、下载及安装部分。
忽略。网上很多
三、实际应用新建一次扫描
1.scan type:
一般选择第一个即可
①:Scan single website:在Website URL处填入需要扫描的网站网址,如果你想要扫描一个单独的应用程序,而不是整个网站,可以在填写网址的地方写入完整路径。wvs支持HTTP/HTTPS网站扫描。
②:Scan using saved crawling results:导入WVS内置 site crawler的爬行到的结果,然后对爬行的结果进行漏洞扫描。
③:Access the scheduler interface:如果被扫描的网站构成了一个列表形式(也就是要扫描多个网站的时候),那么可以使用Acunetix的Scheduler功能完成任务,访问 http://localhost:8183,扫描后的文件存放在“C:\Users\Public\Documents\Acunetix WVS 10\Saves”.
2.Options:
一般选择defalt即可
Scanning profile:设置侧重扫描的类型,包含16种侧重检测类型,如下:
②:可定制扫描器扫描选项,
AWVS在默认情况下只有“default”默认扫描参数配置策略,点击旁边的Customize则可以自定义:
这里讲下我测试的项目用到的。
点击自定义,找到Custom Cookies,新建配置,添加进所需的cookies.这样可以实现预登陆状态下的扫描。
3.Target :选择默认就行,直接点NEXT
(a)、扫描目标的根路径
(b)、服务的banner
(c)、目标URL
(d)、目标操作系统
(e)、目标的Web容器
(f)、目标的程序语言
4.Login :选择默认就行,直接点NEXT
①:使用预先设置的登录序列,可以直接加载lsr文件,也可以点击白色处开始按照步骤新建一个登录序列(具体步骤参考后面的演示)
②:填写用户名密码,尝试自动登录.在某些情况下,可以自动识别网站的验证。
5.Finish:点击开始扫描
①:使用AcuSensor传感技术的设置
②:爬行与扫描中是否区分大小写
③:将这次的设置保存为一个策略,以便下次直接使用策略
四、报告
1.Generater report from this scan :
使用Configuration Settings可定制报告的某些信息,例如logo等.
转换为不同的格式报告,PDF,HTML,Text,Word.BMP。我们一般用Word格式。
2.扫描的高低危漏洞统计,
如下图就是威胁等级:Level 3,漏洞总结果是110个,High(红色):高危漏洞1个,Medium(橙色):中危漏洞49个,Low(蓝色):低危漏洞3个,Informational(绿色):提示信息57个。
下方显示三个信息。
①Taget Information:包含目标站点 1、是否应答、2、WebServer的banner、3、操作系统、4、Web容器、5、程序语言
②Statistics:对扫描的各种信息统计,包含1、扫描的总时间、2、HTTP请求数量、3、平均扫描时间、4、扫描重复次数
③Progress:扫描进度信息的提示,包含1、是否扫描完成,100.00%表示已完成,2、端口扫描是否完成 3、蜘蛛爬行是否完成(文件数量、目录数量、变量数量)、4、脚本信息 5、内部模块
综上,已经完成了一次简单的安全测试,并生成了报告。
快去测测你的项目吧~
后面一起解锁AWVS更多的功能!
