AWVS-Web漏洞扫描工具

AcunetixWebVulnerabilityScanner(简称AWVS)是一个自动化的Web漏洞扫描工具,它可以扫描任何通过Web浏览器访问和遵循HTTP/HTTPS规则的Web站点。AWVS原理是基于漏洞匹配方法,通过网络爬虫测试你的网站安全,检测流行安全漏洞。AWVS可以检测什么漏洞,它有什么优势?AWVS可以通过SQL注入攻击、XSS(跨站脚本攻击)、目录遍历、代码执行等漏洞来审核web应用程序的安全性并输出扫描报告。

一、AWVS简介

Acunetix Web Vulnerability Scanner(简称AWVS)是一个自动化的Web漏洞扫描工具,它可以扫描任何通过Web浏览器访问和遵循HTTP/HTTPS规则的Web站点。

AWVS原理是基于漏洞匹配方法,通过网络爬虫测试你的网站安全,检测流行安全漏洞。

AWVS可以检测什么漏洞,它有什么优势?

AWVS可以通过SQL注入攻击、XSS(跨站脚本攻击)、目录遍历、代码执行等漏洞来审核web应用程序的安全性并输出扫描报告。相对于手动测试的复杂和耗时,它能快速的发现漏洞来提高效率和漏洞覆盖面。

AWVS操作简单,很适合初学者来学习和掌握。

二、安装 AWVS

1、直接将下好的awvs文件右键提取解压

链接: https://pan.baidu.com/s/1r-hluqrxGScESv5OQWRrtw  密码: cl8q

2、给awvs和破解程序分配权限

kali终端运行命令:chmod 777 filename(文件名)

kali里面每个用户的角色和权限划分的很细致也很严格,而操作文件或目录的用户,有3种不同类型:文件所有者、群组用户、其他用户。777分别对应三种用户,7表示可读4可写2可执行1的权限值之和

chmod 777 acunetix_trial.sh :赋予awvs文件权限
chmod 777 patch_awvs:赋予激活文件权限

AWVS-Web漏洞扫描工具

3、进入到文件所在的目录,输入./ acunetix_trial.sh  直接运行安装 (./表示当前目录)AWVS-Web漏洞扫描工具 AWVS-Web漏洞扫描工具

4、激活配置

把激活文件patch_awvs复制到/home/acunetix/.acunetix_trial/v_190325161/scanner/下

命令:

cp patch_awvs /home/acunetix/.acunetix_trial/v_190325161/scanner/

进入刚复制一份的路径下:

cd /home/acunetix/.acunetix_trial/v_190325161/scanner/

激活命令:

 ./patch_awvs

AWVS-Web漏洞扫描工具

 

三、AWVS的案例扫描

开启AWVS

1、打开kali,开启AWVS服务

       开启服务:service acunetix_trial start

       查看服务状态:  

       状态为active(running)表示开启

2、用浏览器打开Awvs的客户端

       https://(kali的IP地址):13443

       (13443为linux下awvs的默认端口,3443是windows下awvs的默认端口)

3、输入安装时的邮箱账号和密码登陆

AWVS的左侧功能模块主要为六个:

1、Dashboard:仪表盘模块,你扫描过的网站的一些漏洞信息这里会显示

2、Targets:目标模块,就是你要扫描的目标网站

3、Vulnerabilities:漏洞模块,显示扫描的漏洞详情

4、Scans:扫描模块,从Target里面选择目标站点进行扫描

5、Reports:报告模块,漏洞扫描完之后的报告

6、Settings:设置模块,就是软件的一些设置,包括软件更新,代理设置等等

 AWVS-Web漏洞扫描工具

 扫描测试

1、添加Target :填写目标的域名或者IP

2、设置扫描选项:

扫描速度Scan Speed(越慢则越仔细)、站点是否需要登陆Site Login、针对不同Web站点的扫描插件AcuSensor(能帮助搜集到更多信息)等

3、设置扫描类型和扫描时间

4、保存设置,点击Create Scan开始扫描

AWVS-Web漏洞扫描工具

 AWVS-Web漏洞扫描工具

四、分析AWVS扫描报告

AWVS-Web漏洞扫描工具

AWVS-Web漏洞扫描工具

五、AWVS常见问题

1、windows下支持安装AWVS吗?

支持

2、AWVS忘记了密码怎么办,需要重新安装吗?

不需要,可以进入kali的

/home/acunetix/.acunetix_trial目录下,

运行change_credentials.sh,可以直接重置密码

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
如需转载请保留出处:http://bianchenghao.cn/34096.html

(0)
编程小号编程小号

相关推荐

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注