正文 

当前位置: 首页 > java > java教程

awvs扫描工具使用教程

weifeng1463 weifeng1463     2023-02-23     431

关键词:

上文AppScan扫描工具-工作原理&操作教程有写到Web安全漏洞扫描工具之一的APPScan,除此,还有另外一款国内使用比较主流的Web安全漏洞扫描工具——AWVS。相较于大容量的AppScan,AWVS显得比较轻量级,安装包大概100M,扫描速度比较有优势,所包含的扫描漏洞类型也比较齐全,可以把两款工具结合一起使用。

AWVS是一款Web漏洞扫描工具,通过网络爬虫测试网站安全,检测流行的Web应用攻击,如跨站脚本、sql 注入等。据统计,75% 的互联网攻击目标是基于Web的应用程序。

 

AWVS的主要功能模块

Blind SQL Injector:盲注工具

HTTP Editor:http协议数据包编辑器

WebScanner:Web安全漏洞扫描(核心功能)

Site Crawler:遍历站点目录结构(爬虫功能)

HTTP Sniffer:HTTP协议嗅探器

HTTP Fuzzer:模糊测试工具

Authentication Tester:Web认证破解工具

Target Finder:端口扫描,找出web服务器端口(如80,443)

Subdomain Scanner:子域名扫描器,利用DNS查询使用方法

 

AWVS安全扫描操作方法

1.点击File –> New –> Web Site Scan;or工具栏上的“New Scan”打开创建页面,如下图:

 
技术分享图片
 

2. 填写需要测试的网址,如下图,点击”Next”

PS:此处以一个专门的渗透测试实验网站为例

 
技术分享图片
 

3. 根据不同要求,选择测试类型,一般默认选择Default,点击“Next”

 
技术分享图片
 

4. 自动识别出被测站点的相关信息,此时可直接点击“Next”

 
技术分享图片
 

5. 根据需求,录入或者填写登录信息,然后点击“Next”

PS:如果网站需要登录,则需要提供登录信息,否则有些需要登录才能操作的页面就无法探测到

1)【Use pre-recorded login sequence】选项:

第一个按钮:可直接打开AWVS的内置浏览器,录制登录被测网站的脚本

第二个按钮:可导入已经录制好的登录脚本

2)【Try to auto-login into the site】选项:

可直接输入登录网站所需的账户名和密码,然后AWVS用自动探测技术进行识别,不需要手工录入登录过程

 
技术分享图片
 
 
技术分享图片
 
 
技术分享图片
 

6. 待到AWVS自动成功侦测到login登录序列的时候,在界面上点击“Finish”

 
技术分享图片
 
 
技术分享图片
 

7. 开始边遍历被测网站的目录结构,边探测漏洞

 
技术分享图片
 

 

 
技术分享图片
 

8. 扫描过程中,可以点击右上角暂停(Pause)or停止(Stop),Stop代表停止本次扫描

 
技术分享图片
 

9.待完全停止or结束扫描之后,目录结构上方的工具栏图标颜色由暗变明,点击“Report”-“Yes”:将扫描结果插入AWVS内置的数据库中

再次点击“Report”,生成扫描报告

 
技术分享图片
 
 
技术分享图片
 

10.根据不同要求,选择不同阅读者双方的报告,可生成不同类型的报告和细则,然后点击导出报告的图标,选择不同的格式,即可导出此次安全扫描的报告

 
技术分享图片
 
 
技术分享图片
 

 

结果分析(Analysis

同样的,扫描结果并不代表完全真实可靠,还需要依靠人工再次验证判断。在AWVS扫描结果基础上,根据不同的严重级别进行排序、手工+工具验证的方式对漏洞验证可靠性,排除误报的情况,并尽可能找出漏报的情况,把本次扫描结果汇总,对以上已验证存在的安全漏洞排列优先级、漏洞威胁程度,并提出每个漏洞的修复建议

然后,再把此次安全漏洞整理的报告提交给项目负责人,由负责人决定哪些漏洞转给开发工程师修复,而后再由安全测试工程师进行回归验证修复的状况







awvs详细使用教程

...擎,时间排除功能,代理功能,常规设置主要使用的功能是前面的6个,后面的根据个人的需要进行配置详细介绍如下:Dashboard功能:翻译意思仪表盘(监视器),可以对扫描对扫描完成目标进... 查看详情

awvs基本扫描教程

650)this.width=650;"src="https://s2.51cto.com/wyfs02/M01/9E/7D/wKioL1mScJqCEXrvAAG0I094ku0421.png-wh_500x0-wm_3-wmp_4-s_1276656623.png"style="float:none;"title="2017-08-15_11-52-00.png"alt="wKioL1mScJ 查看详情

awvs安装教程

AcunetixWebVulnerabilityScanner(简称AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞。650)this.width=650;"src="https://s3.51cto.com/wyfs02/M00/9E/8E/wKiom1mSbOjzDS1nAAntMeI387M739.png-wh_500x0-wm_3-wmp_4-s_2 查看详情

web漏洞扫描工具awvs使用(代码片段)

 AWVS AWVS简介:AcunetixWebVulnerabilityScanner(简称AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞,如交叉站点脚本,sql注入等。在被黑客攻击前扫描购物车,表格、安全区域和其... 查看详情

awvs安装与使用(最新版2022.12.27更新)

AWVS安装与使用1.AWVS1.1.AWVS介绍1.2.AWVS下载2.AWVS安装2.1.AWVS安装流程2.1.1.运行安装2.1.2.安装位置2.1.3.设置账号密码2.1.4.端口设置2.1.5.远程设置2.1.6.安装证书2.2.AWVSpj2.2.1.pj软件设置2.2.2.运行pj软件2.2.3.成功过程2.2.4.失败过程(成功... 查看详情

漏洞扫描工具awvs介绍及安装教程

1.AWVS简介AWVS(AcunetixWebVulnerabilityScanner)是一款知名的网络漏洞扫描工具,通过网络爬虫测试网站安全,检测流行的Web应用攻击,如跨站脚本、sql注入等。据统计,75%的互联网攻击目标是基于Web的应用程序... 查看详情

goby内测版和awvs14最新版联合教程详细说明

一、AWVS14介绍Acunetix,自动化网络应用安全软件的先驱,目前已经宣布发布Acunetix第14版。新版本提供了一个改进的用户界面,并引入了创新,如SmartScan引擎,恶意软件检测功能,全面的网络扫描,验证... 查看详情

awvs多平台安装(保姆级)教程(代码片段)

工具简介AcunetixWebVulnerabilityScanner(简称AWVS)是一款知名的自动化网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞。它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和W... 查看详情

漏洞扫描awvs+nessus(docker版)

参考技术A转自:https://blog.lfoder.cn/2020/06/04/漏洞扫描-AWVS-Nessus-Docker版/Docker源长期及时更新,感谢雷石安全实验室。在docker仓库已经打包好2个扫描器,分别是awvs13和nessus,供广大兄弟们使用。 查看详情

不老的神器--namp,awvs(代码片段)

要会使用的工具NESSUSnmapawvshydraburpsuit工具的话,都有文档,应该多使用-h多看官方文档,就会用了。1.namp基本用法-iL<inputfilename>(从列表中输入)-iR<hostnum>(随机选择目标)-sS:半开放扫描(非3次握手的tcp扫描)使用频率最... 查看详情

docker实践:部署漏洞扫描awvs+nessus(代码片段)

...经打包好2个扫描器,分别是awvs13和nessus,供广大兄弟们使用。 docker命令 #拉取镜像dockerpullleishianquan/awvs-nessus:v2#启动doc 查看详情

xray与awvs爬虫联动(代码片段)

...爬取,xray的扫描能力比较强,速度也更快。awvs和xray搭配使用则是如虎添翼。这里演示的是扫描awvs的在线靶站 http://testphp.vulnweb.com/首先启动xray的被动代理,下面的命令将启动一个监听在所有网卡7001端口的HTTP代理,并将扫描... 查看详情

干货总结那些漏洞工具的联动使用

...技术A简介针对web层面的漏洞扫描,以及一些工具的联动使用提高效率,因为不同的对象需要使用不同类型的扫描,例如awvs针对国内的cms框架可能扫描的效率不是那么高,比较awvs是国外维护更新,所以在这种情况下并不是一款漏... 查看详情

awvs的用法

awvs中的newscan新加一个漏洞扫描任务,webscanner是扫描漏洞的,我们可以看见高危到low的漏洞  awvs中的siteCrawler是爬虫,他可以帮我们爬虫网站目录awvs中的TargetFinder是扫描目标系统和版本,和开放端口 查看详情

nsatp-a学习笔记之day1(代码片段)

文章目录awvs工具使用实验目的实验环境实验工具实验内容实验步骤步骤1:启动awvs步骤2:新建扫描任务步骤3:查看扫描结果步骤4:漏洞查看步骤5:生成报告,导出为PDF特殊参数的设置摘抄awvs工具使用实... 查看详情

awvs14.4.2的安装使用

1、双击acunetix_14.4.210913167,一路下一步2、设置登陆的账号密码3、点击安装证书4、双击AcunetixPremiumActivationTool,提示绿化成功5、打开谷歌浏览器:https://localhost:3443/,输入上面申请的账号密码6、点击登录,成... 查看详情

awvs初步使用

...个大佬的AWVS的安装博客https://www.sqlsec.com/2020/04/awvs.html我使用的是docker版本的,其他的我觉得太麻烦了。根据博客所述,我将AWVS安装在kali虚拟机上但是我并不想在kali上运行,因为kali实在是有些慢。在Windows上使用awvs... 查看详情

漏洞扫描器awvs扫描器简单分析(代码片段)

文章目录0x01前言0x02抓包分析手动抓包并重放(AWVS显示发送了6个请求)(参考价值不大)通过发包历史查看请求0x03小结0x01前言0x02抓包分析简单抓包看了下,值得学习的一点:发送10个左右请求,计算... 查看详情