AWVS扫描器使用指导 |
您所在的位置:网站首页 › 扫描失败什么原因 › AWVS扫描器使用指导 |
1.1是什么扫描器 Acunetix是全球排名前三的漏洞发现厂商,Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的Web网络漏洞扫描器,其被广泛赞誉为包括最先进的SQL注入和XSS黑盒扫描技术。它能够自动爬行网站,并执行黑盒和灰盒测试技术,能够发现危险的漏洞。AWVS能够针对SQL注入、XSS、XXE、SSRF、主机头注入以及4500多个其他web漏洞执行精确的测试,并通过内置的Web管理页面轻松完成管理工作,同时能够生成非常完善的渗透报告。它包含有收费和免费两种版本,AWVS官方网站是:http://www.acunetix.com/。简单说AWVS是一种功能强大的Web应用程序安全扫描器,帮助用户发现可能的安全漏洞并提供修复建议。 1.2 怎么安装使用1.2.1 安装安装其实很简单,以windows上安装AWVS11版本为例子(Linux版本安装参考https://blog.51cto.com/lyshark/6640362),具体步骤如下: 双击exe安装包;点击“Next"; 选择我同意; 设置用户名和密码; 这里用户名是以邮箱为准的,密码英文数字加特殊字符,不然会提示密码太简单等问题。 AWVS Web漏洞扫描工具地址是:https://localhost:3443/,默认端口是3443,这个可以改,具体看你自己。 点击install开始安装 安装证书: 安全完成后打开https://localhost:3443/访问AWVS界面。 1.2.2 使用介绍:(1)Dashboard功能:仪表盘(监视器),可以查看扫描总体结果和扫描完成目标,并且可以单独点击进去查看详细的扫描信息和漏洞信息; (2)Targets功能:可以添加扫描目标,对目标任务进行配置,配置保存可以启动扫描; (3)Vulnerabilities功能:漏洞展示,查看漏洞详情,对扫描出来的漏洞从高危到低位降序排列; (4)Scans功能:对目标进行扫描,可以修改配置扫描的参数,可以启停扫描任务,可以直接看到扫描记录; (5)Reports功能:可以对扫描的漏洞报告、扫描任务报告和目标报告进行查看导出; (6)Setting功能:可以对Awvs进行设置,有包含一些地址和组织的功能需要自己手动添加,也有排除一些地址和组织的功能,需要自己手动添加; 1.2.3 创建一个扫描任务在“Target”页签选择“Add Target”填入扫描目标地址设置扫描选项,包括扫描业务关键性(低,正常,高,关键):可以根据中共筛选扫描关键漏洞。扫描速度:快速(默认)——10个并发请求,无限制。中等——5个并发请求,每20ms发送一次请求。慢——2个并发请求,每50ms发送一次请求。较慢——1个并发请求,每120ms发送一次请求。连续扫描开关:每天快速扫描一次目标并更新最新的漏洞。连续扫描每周执行一次完整扫描。站点登录:可以选择自动登录,多数情况下扫描器自动识别登录链接,但需要用户提供站点用户名和密码。也可以选择登录序列记录器记录登录序列(*.lsr文件),然后保存上传,这种登录方式可以针对例如验证码或其他多因子复杂登录场景。AcuSensor:AcuSensor允许扫描器从PHP、.NET或Java web应用程序中收集更多信息,从而改进扫描结果并减少误报。在运行web扫描之前,下载并安装此目标的AcuSensor。其他高级选项:(1)页面爬虫,扫描目标要排查的路径,一般把用户注销排除。爬网程序在启动时要导入的文件。接受的格式包括带有URL列表的文本文件、WVS Sniffer日志、Fiddler SAZ、Selenium脚本、BURP保存的状态文件或HAR文件。(2)HTTP配置:配置http认证和代理。(3)高级配置:可以设置强制Acunetix使用所选技术的设置扫描网站;可以自定义请求头;可以配置执行时间和问题跟踪器等。保存target,并执行扫描任务跳转到Scan页签。扫描完成可以生存扫描报告,跳转到Report页签,报告生成就可以点击download下载报告。 |
今日新闻 |
点击排行 |
|
推荐新闻 |
图片新闻 |
|
专题文章 |
CopyRight 2018-2019 实验室设备网 版权所有 win10的实时保护怎么永久关闭 |