工具使用
AWVS
Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的Web网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞。
功能及特点:
a)、自动的客户端脚本分析器,允许对 Ajax 和 Web 2.0 应用程序进行安全性测试。
b)、业内最先进且深入的 SQL 注入和跨站脚本测试
c)、高级渗透测试工具,例如 HTTP Editor 和 HTTP Fuzzer
d)、可视化宏记录器帮助您轻松测试 web 表格和受密码保护的区域
e)、支持含有 CAPTHCA 的页面,单个开始指令和 Two Factor(双因素)验证机制
f)、丰富的报告功能,包括 VISA PCI 依从性报告
h)、高速的多线程扫描器轻松检索成千上万个页面
i)、智能爬行程序检测 web 服务器类型和应用程序语言
j)、Acunetix 检索并分析网站,包括 flash 内容、SOAP 和 AJAX
k)、端口扫描 web 服务器并对在服务器上运行的网络服务执行安全检查
l)、可导出网站漏洞文件
在kali中配置dvwa的环境
步骤如下:
1.从github上获取资源
wget https://github.com/ethicalhack3r/DVWA/archive/master.zip下载
2.将其解压到/var/www/html文件夹里
3.赋予文件相应的权限。首先先停止apache服务 service apache2 stop,然后开启mysql服务 service mysql start.之后赋予文件权限chmod -R 755 /var/www/html/dvwa,cd /var/www/html/dvwa/
chmod 755 hackable/uploads/
chmod 755 external/phpids/0.6/lib/IDS/tmp/phpids_log.txt
chmod 755 config/
4.由于最新版本的kali用的是mariadb数据库,所以需要按照请规则建立数据库
mysql -u root -p
提示会让你输入密码,一般可以直接回车
use mysql;
update user set password=PASSWORD('xxxxxx') where User='root'; //这是更改数据库密码的语句 不知道为什么我的分号用的提示错误,可以换成\g
5.create user dvwa;
grant all on dvwa.* to dvwa@localhost identified by 'password';
flush privileges;
exit即可
6.在配置完数据库之后
打开dvwa的配置文件,将修改php配置文件找到 '' /etc/php/7.2/apache2/ '' 文件夹,用文档编辑器打开 '' php.ini '' 文件更改如下两项:''allow_url_include=Off'' 改为 ''allow_url_include=On''
进入到 /var/www/html/dvwa/config 文件夹,把配置模版文件config.inc.php.dist 复制一份 , 并命名为config.inc.php并且打开,将用户名和密码改掉。因为mariadb要求不可以用root登陆,所以用新建的用户登陆即可。
7.访问127.0.0.1/dvwa即可,自动跳转/dvwa/setup.php,然后拉到最下面,点击链接数据库,显示链接成功即可。如果出现链接不成功的错误,查看原因,去上面找对应的操作。