前言
AWVS是一款可與IBM AppScan比肩的、功能十分強大的Web漏洞掃描器,由Acunetix開發,官方站點提供了關于各種型別漏洞的解釋和如何防范,具體參考:Acunetix Web Vulnerabilities Index,同時,這款工具也個人十分喜愛的一款工具,掃描快速,資源占用率低、掃描策略設定簡單、批量十分方便,
雖然現在AWVS已經更新到了AWVS12版本,但個人用的最多的還是AWVS 10.5版本,
原版下載地址:Acunetix Web Vulnerability Scanner 10.x Consultant Edition KeyGen By Hmily[LCG]
Github下載鏈接:AWVS 10.5破解版,
安裝程序可參考:AWVS12破解版使用 的安裝破解程序,
AWVS官方掃描測驗站點:http://testphp.vulnweb.com/,
使用
AWVS界面
AWVS的界面相對更為簡潔和直觀,讓人一目了然,具體如下圖所示:(郵件打開查看圖片更清晰哦)
左側是工具列(AWVS自帶很多小的工具)、中間是掃描結果(漏洞型別和數量,同時顯示站點的目錄結構)、右側包括:漏洞描述、細節、資料包查看及漏洞影響和修復方法,
新建掃描任務
方法一:客戶端界面
雙擊桌面創建的快捷方式啟動AWVS掃描工具,點擊[New Scan] >> 填入目標掃描地址,按提示內容(默認)操作即可,
采用客戶端方式的便利之處在于可以直接觀測的掃描行程,一些實時掃描出的問題可以直接看到,如下所示:
方法二:Web界面
從上得知可以訪問http://localhost:8183/,來查看Web界面,
 |  |
報告匯出
工具列Tools >> Reporter >>
彈出一個新的視窗,選擇Generate Report>>
可以設定報告中可包含的內容 >>
點擊Generate >>
右側即是生成的報告內容,可以閱覽,我們可以匯出我們想要的報告格式,PDF|HTML|Word等,
表單填充
如測驗站點有個登錄框:http://testphp.vulnweb.com/login.php
需要輸入正確的用戶名密碼方能進行下一步掃描作業,
我們直接將登錄頁面作為掃描的目標地址,創建任務>>>Login,點擊右側箭頭標注的New Login Sequence
即會彈出一個模擬瀏覽器的登錄程序,我們輸入用戶名密碼,點擊login,
登錄成功之后,我們可以隨意瀏覽,這樣掃描器就能獲得更多的資訊,有助于發現更多的問題,
點擊Finish,會讓你保存當前的登錄序列,保存開始掃描任務即可,
小工具
子域名探測
選擇左側Tools >> SubDomain Scanner,輸入Domain進行掃描即可,但功能比較有限,可以作為輔助使用,
站點目錄爬取
選擇左側Tools >> Site Crawler,輸入站點URL,點擊Start即可,
如圖所示,在掃描站點目錄的時候,很有可能發現一些意向不到的組態檔、資料備份、站點原始碼備份檔案等,
HTTP Editor
這個小工具可以讓你方便的編輯HTTP Header、發送和查看回應,
可以查看和編輯請求Request >>
編碼工具
在測驗一些SQL注入|XSS漏洞,我們需要調整輸入的引數,編碼是其中一種重要的手段,在編輯引數時,同樣提供了這樣的功能,如下圖所示,提供了多種編碼/引數變換方式,
圖中是對admin123做MD5運算的結果,
未完,待續...
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/49610.html
標籤:其他