AWVS扫描Web应用程序
AWVS扫描Web应用程序
系列文章
1.账户密码登录扫描
我们准备了一个靶场用来做测试扫描:
1.点击【Targets】,点击【add Target】
2.输入扫描地址和扫描描述,点击【save】
3.点击【Site Login】
4.选择【try to auto-login into the site】,输入登录地址,用户名【xiaogang】,密码【123456】,重复密码【123456】
5.点击【HTTP Authentication】的开启按钮
6.输入用户名【小刚】,密码【123456】,重复密码【123456】
7.点击【save】,然后点击【Scan】按钮
8.选择扫描设置,如图所示,点击【create Scan】
9.点击扫描目标,查看扫描具体内容
10.等待扫描完成
2.利用录制登录序列脚本扫描
1.点击【Targets】,点击【add Target】
2.输入扫描地址和扫描描述,点击【save】
3.点击【Site Login】
4.选择【Use pre-recorded login sequence 】,点击【New】
5.点击【登录】
6.输入用户名【xiaogang】,密码【123456】,点击【登录】
7.检查登录脚本流程是否完整,点击【Next】
8.点击【xaiogang_vip3】
9.点击【Restrict requests to path】
10.点击【Next】
11.点击【确定】
12.点击【Finish】
13.点击【Scan】
14.选怎扫描配置,如下图所示,点击【Create Scan】
15.点击目标连接,查看具体扫描信息
16.等待扫描完成
3.利用定制cookie扫描
我们准备如下页面进行实验:
扫描过程会遇到网站存在手机验证码,图形验证码,滑动验证等等,这时候想要深度扫描时,就需要进行登录绕过。最长用的手段就是定制cookie绕过。
1.点击【Targets】,点击【add Target】
2.输入扫描地址和扫描描述,点击【save】
3.点击【Advanced】
4.点击【Custom Cookies】
5.输入被测网站网址
6.按下F12进入开发者模式,进入到网络板块,刷新
在请求头中得到cookie信息
7.切换会AWVS,输入cookie的值,点击【+】
8.点击【save】,然后点击【Scan】
9.设置扫描选项,如下图所示,点击【Create Scan】
10.点击扫描的网站地址,查看扫描信息
11.等待扫描完成