【转】AWVS扫描小技巧
1.文件头加
Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)
可以绕过狗,waf等
另外如果很容易吧对方扫死的话,可以在第一项limit number…..,这里是最大的并发连接数默认是10,可以改低为2-5
某些WAF对访问请求时间太快会进行拦截,可以进行延迟发包,在Delay between 默认是0,改为1-5
2.表单验证用户某些页面,例如扫描后台、扫描用户登录后可访问的页面时候,需要登录用户密码验证再进行扫描,我觉得那个录制登录的脚本始终没法解决验证码的问题,so这里我们用设置cookie 来解决
3.设置排除url,比如“退出登录”这样的链接,会清除cookie和session,导致扫描终止,首先找到退出链接。
4.有时候一些页面需要二级密码,这就需要预置好表单自动填充,首先我们用浏览器F12看看表单的名称name,然后进入AWVS设置。
例如在HTML表单提交中出现age的字段,则会自动填写值为20。字段中:*web*中的是含有通配符的表示形式,例如1web2这样的就是满足*web*,当然可以不加任何通配符,例如password2
最后一步不要忘记点击右下角的APPLY
《转博客:http://www.goldfire.cc/index.php/archives/1056》