Web安全漏洞扫描神器-AWVS下载、安装及使用教程

这篇具有很好参考价值的文章主要介绍了Web安全漏洞扫描神器-AWVS下载、安装及使用教程。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

Web安全漏洞扫描神器-AWVS下载、安装及使用教程

目录

一、AWVS介绍

二、网站漏洞扫描

三、漏洞扫描结果

四、漏洞告警分析利用

五、根据漏洞信息进行验证、利用

六、网络爬虫

七、主机发现(c段探测)

八、子域名探测

九、SQL注入

十、HTTP头编辑

十一、HTTP监听拦截


一、AWVS介绍

AWVS为Acunetix Web Vulnarability Scanner的简称,是一种web网站漏洞探测工具,可以扫描任何通过Web浏览器访问和遵循HTTP/HTTPS规则的Web站点。适用于任何中小型和大型企业的内联网、外延网和面向客户、雇员、厂商和其它人员的Web网站。

AWVS可以通过检查SQL注入攻击漏洞、XSS跨站脚本攻击漏洞等漏洞来审核Web应用程序的安全性。

1.1、AWVS功能及特点

  • 自动的客户端脚本分析器,允许对Ajax和Web2.0应用程序进行安全性测试
  • 业内最先进且深入的SQL注入和跨站脚本测试
  • 高级渗透测试工具,例如HTPP Editor和HTTP Fuzzer
  • 可视化宏记录器帮助您轻松测试web表格和受密码保护的区域
  • 支持含有CAPTHCA的页面,单个开始指令和Two Factor(双因素)验证机制
  • 丰富的报告功能,包括VISA PCI依从性报告
  • 高速的多线程扫描器轻松检索成千上万的页面
  • 智能爬行程序检测web服务器类型和应用程序语言
  • Acunetix检索并分析网站,包括flash内容,SOAP和AJAX
  • 端口扫描web服务器并对在服务器上运行的网络服务执行安全检查
  • 可到处网站漏洞文件

1.2、AWVS工作原理

  • 扫描整个网络,通过跟踪站点上的所有链接和robots.txt来实现扫描,扫描后AWVS就会映射出站点的结构并显示每个文件的细节信息。
  • 在上述的发现阶段或者扫描过程之后,AWVS就会自动地对所发现的每一个页面发动一系列的漏洞攻击,这实质上是模拟一个黑客的攻击过程(用自定义的脚本去探测是否有漏洞) 。WVS分析每一个页面中需要输入数据的地方,进而尝试3所有的输入组合。这是一个自动扫描阶段 。
  • 在它发现漏洞之后,AWVS就会在“Alerts Node(警告节点)”中报告这些漏洞,每一个警告都包含着漏洞信息和如何修补漏洞的建议。
  • 在一次扫描完成之后,它会将结果保存为文件以备日后分析以及与以前的扫描相比较,使用报告工具,就可以创建一个专业的报告来总结这次扫描。

1.3、AWVS安装

(1)在官网下载awvs安装包,此软件为付费软件试用期14天。

(2)点击安装包执行安装,勾选使用协议,执行下一步

(3)填写邮件、密码并执行下一步,这里的邮件及密码会用于以后使用软件的时候进行登录验证

(4)这一步填写端口号,默认为3443,可以根据自己需求进行修改;询问是否在桌面添加快捷方式,一般选择是,选择后执行下一步

(5)勾选创建桌面快捷方式,执行下一步完成安装


二、网站漏洞扫描

1.添加新的扫描,配置网站URL:http://192.168.242.133(这是搭建的一个靶机),完成之后点击下一步

 

Web安全漏洞扫描神器-AWVS下载、安装及使用教程

2.这里可以配置需要扫描的漏洞类型,选择Default的话就是会扫描所有类型的漏洞,如果只是像探测CSRF,可以直接选择这种类型就好了。

 

Web安全漏洞扫描神器-AWVS下载、安装及使用教程

3.工具自动探测到测试的目标网站的服务器信息,在已知的情况下也可以自己选择服务器的类型,点击next

 

Web安全漏洞扫描神器-AWVS下载、安装及使用教程

4.使用默认自动注册身份的进行扫描,如果有网站账号密码可以使用进行扫描

 

Web安全漏洞扫描神器-AWVS下载、安装及使用教程


三、漏洞扫描结果

  查看Web Scanner扫描的结果,可以看到很多漏洞的告警信息,分别分为高、中、低、信息这四个等级,告警中会包括各种常见的漏洞信息例如代码执行、SQL注入、文件上传等各种网站的安全漏洞。

Web安全漏洞扫描神器-AWVS下载、安装及使用教程

 >>右边的漏洞扫描的一些结果

1)所有的漏洞数据统计,分别分为高、中、低、信息这四个等级

 

Web安全漏洞扫描神器-AWVS下载、安装及使用教程

2)服务器主机信息

 

Web安全漏洞扫描神器-AWVS下载、安装及使用教程

 3)扫描过程的数据信息

 

Web安全漏洞扫描神器-AWVS下载、安装及使用教程

4)扫描完成及发现的情况

 

Web安全漏洞扫描神器-AWVS下载、安装及使用教程


四、漏洞告警分析利用

1)扫描结果中会看到各类的漏洞,这里以SQL注入盲注的漏洞为例

Web安全漏洞扫描神器-AWVS下载、安装及使用教程

2)参考漏洞的基本描述,有些漏洞有可能不是很常见,可以作为一个参考了解

 

Web安全漏洞扫描神器-AWVS下载、安装及使用教程

3)漏洞利用的细节,这部分是作为后期利用重要部分,可以知道如何找到漏洞位置且知道如何进行攻击利用

 

Web安全漏洞扫描神器-AWVS下载、安装及使用教程

>>可以看到它举例如何验证存在SQL注入

root' AND 2*3*8=6*8 AND '000L76w'='000L76w 为真,也就是正常页面

root' AND 2*3*8=6*9 AND '000L76w'='000L76w 为假,也就是另一个新页面

4)请求头可以找到具体的漏洞注入位置

 

Web安全漏洞扫描神器-AWVS下载、安装及使用教程

==请求头可以看到具体存在注入的URL为:http://192.168.242.133/sql/example1.php?name=root

===响应头状态时200OK

5)可以看到注入点的HTML格式

 

Web安全漏洞扫描神器-AWVS下载、安装及使用教程

6)另外还可以看到相关的漏洞影响,如何进行漏洞修复,整个完整信息下来类似一份完整的漏洞报告。

 

Web安全漏洞扫描神器-AWVS下载、安装及使用教程


五、根据漏洞信息进行验证、利用

参考漏洞探测出来的结果,那直接访问web进行验证

 a .这是存在注入点的URL

 

Web安全漏洞扫描神器-AWVS下载、安装及使用教程

 b .刚才的漏洞结果的例子就是一个字符型漏洞验证的方法

>>http://192.168.242.133/sqli/example1.php?name=root'and '1'='1为真,是正常页面

 

Web安全漏洞扫描神器-AWVS下载、安装及使用教程

>>http://192.168.242.133/sqli/example1.php?name=root'and '1'='2为假,页面异常,确实存在SQL注入漏洞

 

Web安全漏洞扫描神器-AWVS下载、安装及使用教程

5)输出漏洞扫描报告

 

Web安全漏洞扫描神器-AWVS下载、安装及使用教程

 

>>漏洞报告详情,这样以报告形式看起来就很方便,内容清晰,可以作为渗透后期报告的参考

Web安全漏洞扫描神器-AWVS下载、安装及使用教程

>>可以选择不同的格式输出报告

 

Web安全漏洞扫描神器-AWVS下载、安装及使用教程


六、网络爬虫

1.添加URL进行网络爬虫

 

Web安全漏洞扫描神器-AWVS下载、安装及使用教程

2.爬虫会爬取网站的各个目录信息,那么就能知道网站存在哪些目录,这一步可以作为渗透中信息收集的一步。可以作为进一步漏洞利用的基础

 

Web安全漏洞扫描神器-AWVS下载、安装及使用教程


七、主机发现(c段探测)

a.可以把我的目标主机当作一个c类地址,那么范围就是192.168.242.1-254,这里只能探测80、443的服务

Web安全漏洞扫描神器-AWVS下载、安装及使用教程


八、子域名探测

a.添加子站域名进行探测,可以看到相关的子域名,查看对应的旁站

Web安全漏洞扫描神器-AWVS下载、安装及使用教程


九、SQL注入

 a.在探测到的漏洞中添加到sql注入

 

Web安全漏洞扫描神器-AWVS下载、安装及使用教程

 b.看到发送到SQL注入

Web安全漏洞扫描神器-AWVS下载、安装及使用教程

  c.添加注入,在注入点插入注入payload,然后点击开始注入就ok

 

Web安全漏洞扫描神器-AWVS下载、安装及使用教程

 


十、HTTP头编辑

 a.在漏洞扫描的结果中添加到http头编辑

 

Web安全漏洞扫描神器-AWVS下载、安装及使用教程

 b.可以修改对应的头信息发送、查看响应内容

Web安全漏洞扫描神器-AWVS下载、安装及使用教程


十一、HTTP监听拦截

 a.默认监听拦截8080,开启浏览器本地代理,访问页面就可以监听

Web安全漏洞扫描神器-AWVS下载、安装及使用教程

*-*AWVS在渗透中最常用的就是漏洞扫描、网站爬虫等几个功能,另外还有其他很多功能,想要仔细了解这个工具的话可以自己做对应的测试。文章来源地址https://www.toymoban.com/news/detail-478177.html

到了这里,关于Web安全漏洞扫描神器-AWVS下载、安装及使用教程的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 安全工具--- rengine安装---资产侦查漏洞扫描

    工具介绍 reNgine是一款针对Web应用渗透测试的自动化网络侦察框架,广大研究人员可以在针对Web应用程序的渗透测试过程中使用reNgine来实现信息收集,reNgine提供了一个自定义的扫描引擎,可以用于对网站和终端节点进行扫描和信息收集。 reNgine的优点在于它把所有的东西都集

    2024年02月02日
    浏览(63)
  • Acunetix v23.6 (Linux, Windows) - 漏洞扫描 (Web 应用程序安全测试)

    Acunetix v23.6 (Linux, Windows) - 漏洞扫描 (Web 应用程序安全测试) Acunetix | Web Application Security Scanner 请访问原文链接:https://sysin.org/blog/acunetix/,查看最新版。原创作品,转载请保留出处。 作者主页:sysin.org Acunetix Standard Premium v23.6.230628115 - 28 Jun 2023 重要提示 Acunetix Premium 现在使用

    2024年02月11日
    浏览(51)
  • 渗透测试——安全漏洞扫描工具APPScan的安装与基本使用步骤

            HCL AppScan Standard是安全专家和渗透测试者设计的动态应用程序安全测试工具,AppScan使用强大的扫描引擎,会自动检索目标应用程序并测试漏洞。测试结果按优先级排列,允许操作员快速分类问题、发现最关键的漏洞。每个检测到的问题都可以根据清晰且可操作的修

    2024年02月09日
    浏览(45)
  • 腾讯EdgeOne产品测评体验——多重攻击实战验证安全壁垒:DDoS攻击|CC压测|Web漏洞扫描|SQL注入

    🌈你好呀!我是 是Yu欸 🌌 2024每日百字篆刻时光,感谢你的陪伴与支持 ~ 🚀 欢迎一起踏上探险之旅,挖掘无限可能,共同成长! 在一个阳光明媚的下午,我收到了一个特别的邀请:对腾讯云EdgeOne(简称EO),一款致力于提速和加强网站安全的边缘安全加速平台,进行深度

    2024年04月17日
    浏览(43)
  • 关于安全扫描漏洞修复的问题(配置yum源--安装telnet--安装openssl--安装openssh--修改22端口)

    流程:配置yum源--安装telnet--安装openssl--安装openssh--修改22端口(看具体情况)--关闭并卸载telnet #本地yum源配置 cd /etc/yum.repos.d/ mkdir baks mv *.repo baks/ vi local.repo #执行命令 yum clean all   表示删除原来的yum源文件索引 yum makecache   重新缓存新的yum源文件索引 安装前,可以使用s

    2024年02月01日
    浏览(61)
  • AWVS-Web漏洞扫描工具

    一、AWVS简介 Acunetix Web Vulnerability Scanner(简称AWVS)是一个自动化的Web漏洞扫描工具,它可以扫描任何通过Web浏览器访问和遵循HTTP/HTTPS规则的Web站点。 AWVS原理是基于漏洞匹配方法,通过网络爬虫测试你的网站安全,检测流行安全漏洞。 AWVS可以检测什么漏洞,它有什么优势?

    2024年02月06日
    浏览(48)
  • 安全漏洞扫描与评估:定期扫描系统,发现潜在安全风险

    安全漏洞扫描与评估的重要性 随着网络技术的飞速发展以及信息化程度的不断提高,各类信息安全问题愈发突出并引起人们的广泛关注。其中最为严重的是各种类型的安全漏洞被黑客利用以窃取敏感信息、破坏重要数据甚至控制目标系统等恶意行为的发生。因此加强系统的安

    2024年02月21日
    浏览(50)
  • 常见的安全扫描漏洞的工具、漏洞分类及处理

    Nikto 这是一个开源的Web服务器扫描程序,它可以对Web服务器的多种项目进行全面的测试。其扫描项目和插件经常更新并且可以自动更新。Nikto可以在尽可能短的周期内测试你的Web服务器,这在其日志文件中相当明显。不过,如果你想试验一下,它也可以支持 LibWhisker的反IDS方法

    2023年04月08日
    浏览(52)
  • 安全 漏洞扫描 OSSIM

    安全 漏洞扫描OSSIM OSSIM Burp Suite Professional:一站式Web应用程序漏洞检测套件 (4)硬件选择,可以采用品×××服务器,对于中小企业也可以根据自己需求,以OSSIM 4.8系统为例,目前系统对多核性能支持的比较好,推荐采用至强E系列处理器,OSSIM在漏洞扫描、Ossec扫描、Snort事件

    2024年01月19日
    浏览(54)
  • 网络安全漏洞扫描技术

            网络安全漏洞扫描的作用是 发现系统中存在的潜在安全漏洞,评估系统的安全性,预防和减轻潜在的安全威胁,并满足合规性要求 。它对于提高系统的安全性、降低风险以及保护敏感数据和资产都具有重要的意义。网络安全漏洞扫描技术包括以下几种常见的方法

    2024年02月11日
    浏览(48)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包