AWVS——自动化检测发现漏洞
AWVS简介
*AWVS作为一个工具,不可能把所有漏洞扫描出来,仅仅是作为一个渗透网站时的辅助工具
自动化Web漏洞扫描工具(基于漏洞匹配方法,通过网络爬虫测试网站安全)
AWVS通过SQL注入攻击、XSS(跨站脚本攻击)、目录遍历、代码执行等漏洞来审计Web应用程序的安全性并输出扫描报告
安装Linux AWVS
1、先下载Linux AWVS文件
2、先解压出来,然后将文件导入到Kali Linux里
3、解压成下图即可
4、进入到acunetix_trial.sh 文件夹里,然后打开终端
5、赋予AWVS文件权限
小知识:Kali终端运行命令:chmod 777 filename(文件名)
chmod 命令用于修改文件权限
777分别对应3种不同类型用户:文件所有者、群组用户、其他用户
7表示4(可读)、2(可写)、1(可执行)的权限值总和 (7=4+2+1)
输入chmod 777 acunetix_trial.sh 赋予AWVS文件权限 (文件名显示为绿色表示有权限,白色表示无权限)
6、运行AWVS安装程序,然后安装提示安装
输入./acunetix_trial.sh
显示下图表示已经安装好了(记住红框内的网址)
7、用Kali Linux自带的火狐浏览器打开这个网站
8、用安装时候用的邮箱和密码进行登陆
9、激活AWVS
从网页Administrator——>profile可以看到目前版本为试用版
把激活文件patch_awvs复制到/home/acunetix/.acunetix_trial/v_190325161/scanner/下
可以使用命令进行执行
cp patch_awvs /home/acunetix/.acunetix_trial/v_190325161/scanner/使用命令cd /home/acunetix/.acunetix_trial/v_190325161/scanner/ 进入到/home/acunetix/.acunetix_trial/v_190325161/scanner/ 目录下
然后输入chmod 777 patch_awvs 赋予激活文件权限
然后输入./patch_awvs执行激活程序
显示红框内的内容表示已经激活成功了
刷新一下网页就可以看到已经获得许可证了
*注意,激活完成后要先去设置中禁用更新
开启AWVS
1、打开kali,开启AWVS服务开启服务:service acunetix_trial start查看服务状态:状态为active(running)表示开启
2、用浏览器打开Awvs的客户端https://ip:13443(13443为linux下awvs的默认端口,3443是windows下awvs的默认端口)
ip查询:
在kali Linux终端输入ip a 红框内的即为IP
3、输入安装时的邮箱账号和密码登陆
AWVS的左侧六个功能模块
1、Dashboard:仪表盘模块,你扫描过的网站的一些漏洞信息这里会显示
2、Targets:目标模块,就是你要扫描的目标网站
3、Vulnerabilities:漏洞模块,显示扫描的漏洞详情
4、Scans:扫描模块,从Target里面选择目标站点进行扫描
5、Reports:报告模块,漏洞扫描完之后的报告
6、Settings:设置模块,就是软件的一些设置,包括软件更新,代理设置等等
AWVS的简单实战扫描
(本次实战是在合法靶场中进行测试,已获得授权)
1、添加目标
User Agent按需选择
Technologies根据你要测试的网站来进行选择
设置完成后要记得保存哦
通过扫描靶场可以发现测试网站有个SQL盲注漏洞
验证阶段
验证完成,确实存在盲注SQL漏洞
一些常见问题
一、windows下支持安装AWVS吗?
支持,可以参考以下教程,比较简单,可以自行安装https://www.cnblogs.com/chun-xiaolin001/p/10060830.html
二、AWVS忘记了密码怎么办,需要重新安装吗?
不需要,可以进入kali的/home/acunetix/.acunetix_trial目录下,运行change_credentials.sh,可以直接重置密码
