Acunetix使用说明
简述
Acunetix是一种应用安全性扫描工具,旨在帮助发现和修复Web应用程序中的漏洞和安全风险。
Acunetix可以发现以下一些常见的安全问题:
- 跨站脚本攻击(XSS):通过在网页中注入恶意脚本来执行未经授权的操作。
- SQL注入攻击:利用应用程序对用户输入的不正确处理,从而执行恶意数据库查询。
- 文件包含漏洞:应用程序未正确验证用户提供的文件路径,导致恶意用户可以包含不应该被访问的文件。
- 远程命令执行(RCE):攻击者能够在远程系统上执行恶意代码或命令。
- XML外部实体(XXE)攻击:利用应用程序未正确配置XML解析器,导致攻击者可以读取或修改敏感数据。
- 不安全的直接对象引用(IDOR):攻击者能够绕过身份验证和授权来访问没有给予权限的资源。
- 服务器配置问题:如默认凭据、敏感信息泄露、目录浏览等,可能导致未经授权的访问或信息泄露。
此外,Acunetix还可以检查SSL/TLS配置问题,包括弱密码算法、未经授权的证书等。总之,Acunetix旨在帮助发现Web应用程序中的各种安全风险和漏洞,并提供建议来修复这些问题,从而提升应用程序的安全性。
提取码:1234
一、安装
1.先到网盘下载安装包,下载成功后解压,如下图
2.选择exe程序安装
3.下一步
4.设置登录的账号,密码,密码包含英文,数字,符号
5.设置服务端口,一般用默认的就行
6.安装完成
7.安装完成后会自动打开浏览器进入服务登录页面,输入安装时设置的账号,密码登录,如果忘记了,打开程序搜索Acunetix Administrative Password 修改即可
8.运行文件夹中的bat文件
9.host文件新增配置,路径C:\Windows\System32\drivers\etc
127.0.0.1 updates.acunetix.com
127.0.0.1 erp.acunetix.com
127.0.0.1 bxss.me
127.0.0.1 telemetry.invicti.com
10.点击回车,屏幕出现了点击任意键退出就算好了
11.再进入登录页面输入之前设置的账号密码登录
二、使用
1.切换中文,点击右上角,进入个人中心,
2.输入名字姓氏,修改时区为GMT+8,修改语言为简体
3.添加扫描目标,点击目标再点击添加目标
输入需要扫描的网址吗,可添加描述
点击保存,目标添加成功
4.进入目标信息编辑页面,选择业务关键性(仅标记作用),默认扫描配置文件,包含有全盘扫描、高风险、高/中风险,跨站脚本,sql注入,弱密码,仅爬取,恶意软件扫描,可以选择其中一项专项测试,全部测试就选择第一个全盘扫描
扫描速度,可以控制扫描的速度,同时越快发起的请求越多,如果系统有防御机制,不允许太多并发,会导致扫描失败
网站登录,需要测试登录状态下的安全性,需要保持会话有效,可以选择输入网址,账户名,密码,确认密码去获取登录状态,第二种办法可以通过内置的程序去录制,点击新建后打开程序,进行操作后点击完成就可以了。
5.到这里基本就可以了,点击保存
6.返回到目标,选择刚添加的目标,点击扫描
7.点击扫描后会弹出弹窗,可以再次选择扫描方式,再选择完成后的报告呈现方式,包含了便于开发调试的报告和合规性标准报告
还可以选择扫描的时间,以及频率
8.开始扫描
9.扫描结束后生成扫描报告,点击报告,选择呈现方式下载
报告中可以看出扫描出的漏洞,以及漏洞的危害以及位置,并给出建议