胡钇臣
1.介绍
Acunetix Web Vulnerability Scanner(简称AWVS)是一款Web网络漏洞扫描工具,它通过网络爬虫测试网站安全,检测流行安全漏洞。本文将讲解一些简单、基础的站点扫描功能。
2.功能与特点
- 自动的客户端脚本分析器,允许对 Ajax 和 Web 2.0 应用程序进行安全性测试。
- 业内最先进且深入的 SQL 注入和跨站脚本测试。
- 高级渗透测试工具,例如 HTTP Editor 和 HTTP Fuzzer
- 可视化宏记录器帮助您轻松测试 web 表格和受密码保护的区域。
- 支持含有 CAPTHCA 的页面,单个开始指令和 Two Factor(双因素)验证机制。
- 丰富的报告功能,包括 VISA PCI 依从性报告。
- 高速的多线程扫描器轻松检索成千上万个页面。
- 智能爬行程序检测 web 服务器类型和应用程序语言。
- Acunetix 检索并分析网站,包括 flash 内容、SOAP 和 AJAX。
- 端口扫描 web 服务器并对在服务器上运行的网络服务执行安全检查。
- 可导出网站漏洞文件。
3.使用教程
3.1AWVS菜单栏、工具栏简介
3.1.1 菜单栏简介
File——New——Web Site Scan :新建一次网站扫描
File——New——Web Site Crawl:新建一次网站爬行
File——New——Web Services Scan:新建一个WSDL扫描
Load Scan Results:加载一个扫描结果
Sava Scan Results:保存一个扫描结果
Exit:退出程序
Tools:参考主要操作区域的tools
Configuration——Application Settings:程序设置
Configuration——Scan Settings:扫描设置
Configuration——Scanning Profiles:侧重扫描的设置
Help——Check for Updates:检查更新
Help——Application Directories——Data Directory:数据目录
Help——Application Directories——User Directory:用户目录
Help——Application Directories——Scheduler Sava Directory:计划任务保存目录
Help——Schedule Wen Interface:打开WEB形式计划任务扫描处
Help——Update License:更新AWVS的许可信息
Help——Acunetix Support——User Mannul(html):用户HTML版手册
Help——Acunetix Support——User Mannul(PDF):用户PDF版手册
Help——Acunetix Support——Acunetix home page:AWVS官网
Help——Acunetix Support——HTTP Status:HTTP状态码简介
3.1.2 工具栏简介
从左到右分别是:
新建扫描——网站扫描——网站爬行——目标查找——目标探测——子域名扫描——SQL盲注——HTTP编辑——HTTP嗅探——HTTP Fuzzer——认证测试——结果对比——WSDL扫描——WSDL编辑测试——程序设置——扫描设置——侧重扫描设置——计划任务——报告
3.2AWVS站点扫描和常用工具
3.2.1站点扫描Web Scanner
点击New Scan ,输入一个目标url,比如:http://testhtml5.vulnweb.com
下一步,选择扫描模板,一般选“Default”即可
下一步,软件自动识别目标站点的信息,也可手动修改
点击“下一步”,如果网站需要登录,就在此处添加登录信息
下一步,再次进行信息确认,无误点击“finish”即可开始扫描
点击finish,开始扫描
扫描结束后,点击保存按钮,可将扫描结果保存到本地
3.2.2 Site Crawler
点击Start对所输入的URL进行爬取,但是有的页面需要登录,不登录有些文件爬不到,就可以选择可以登录的login sequence进行登录,爬网结果可以保存为cwl文件,以便后续站点扫描使用。
3.2.3 Target Finder
可以指定IP地址段进行端口扫描(类似于Nmap),可以用与信息收集。 进行了端口扫描后会进行服务发现,得到端口上对应的服务。
