Awvs详细使用教程
Posted 内网漫游-网安人的梦
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Awvs详细使用教程相关的知识,希望对你有一定的参考价值。
Awvs的是一款非常好用的web漏洞扫描工具,他的扫描速度比较快,可以自己选择扫描速度,比较灵活。Awvs分为老的版本和新版本,下面我介绍的是新版本的功能和用法。
功能介绍如下:仪表盘(监视器)功能,添加目标功能,漏洞排序功能,扫描功能,发现功能,用户功能,扫描配置功能,网络扫描功能,追踪器功能,防火墙设置,邮件设置,引擎
,时间排除功能,代理功能,常规设置
主要使用的功能是前面的6个,后面的根据个人的需要进行配置
详细介绍如下:
Dashboard功能:翻译意思仪表盘(监视器),可以对扫描对扫描完成目标进行排列,可以单独点击进去查看详细的扫描信息;
Targets功能:目标,可以对扫描的目标进行添加,可以单个添加,可以多个添加或者按组添加;
Vulnerabilities功能:漏洞排序功能,对扫描出来的漏洞从高危到低位降序排列;
Scans功能:扫描,可以新建扫描(自己可以配置扫描的参数),可以直接看到扫描记录;
Reports功能:可以对扫描的报告进行导出;
Discovery功能:字面意思是发现,可以进行设置,有包含一些地址和组织的功能需要自己手动添加,也有排除一些地址和组织的功能,需要自己手动添加;
Users功能:可以添加用户删除用户;
Scan Profiles功能:扫描配置功能,可以选择对那些漏洞扫描,默认都选不用管;
Network Scanner功能:网络扫描,需要设置扫描的地址端口,账号和密码;
Issue Trackers功能:问题追踪器,如果扫描失败,进行配置,然后这个功能会尝试链接目标地址看出现什么问题;
WAFs功能:防火墙设置,可以配置web应用程序防火墙;
Email Settings功能:邮件设置
Engines功能:引擎
Excluded Hours功能:小时排除,可以对一些时间进行排除
Proxy Settings功能:代理功能,可以设置代理
General Settings功能:常规设置
AWVS扫描工具使用教程
上文AppScan扫描工具-工作原理&操作教程有写到Web安全漏洞扫描工具之一的APPScan,除此,还有另外一款国内使用比较主流的Web安全漏洞扫描工具——AWVS。相较于大容量的AppScan,AWVS显得比较轻量级,安装包大概100M,扫描速度比较有优势,所包含的扫描漏洞类型也比较齐全,可以把两款工具结合一起使用。
AWVS是一款Web漏洞扫描工具,通过网络爬虫测试网站安全,检测流行的Web应用攻击,如跨站脚本、sql 注入等。据统计,75% 的互联网攻击目标是基于Web的应用程序。
AWVS的主要功能模块
Blind SQL Injector:盲注工具
HTTP Editor:http协议数据包编辑器
WebScanner:Web安全漏洞扫描(核心功能)
Site Crawler:遍历站点目录结构(爬虫功能)
HTTP Sniffer:HTTP协议嗅探器
HTTP Fuzzer:模糊测试工具
Authentication Tester:Web认证破解工具
Target Finder:端口扫描,找出web服务器端口(如80,443)
Subdomain Scanner:子域名扫描器,利用DNS查询使用方法
AWVS安全扫描操作方法
1.点击File –> New –> Web Site Scan;or工具栏上的“New Scan”打开创建页面,如下图:
2. 填写需要测试的网址,如下图,点击”Next”
PS:此处以一个专门的渗透测试实验网站为例
3. 根据不同要求,选择测试类型,一般默认选择Default,点击“Next”
4. 自动识别出被测站点的相关信息,此时可直接点击“Next”
5. 根据需求,录入或者填写登录信息,然后点击“Next”
PS:如果网站需要登录,则需要提供登录信息,否则有些需要登录才能操作的页面就无法探测到
1)【Use pre-recorded login sequence】选项:
第一个按钮:可直接打开AWVS的内置浏览器,录制登录被测网站的脚本
第二个按钮:可导入已经录制好的登录脚本
2)【Try to auto-login into the site】选项:
可直接输入登录网站所需的账户名和密码,然后AWVS用自动探测技术进行识别,不需要手工录入登录过程
6. 待到AWVS自动成功侦测到login登录序列的时候,在界面上点击“Finish”
7. 开始边遍历被测网站的目录结构,边探测漏洞
8. 扫描过程中,可以点击右上角暂停(Pause)or停止(Stop),Stop代表停止本次扫描
9.待完全停止or结束扫描之后,目录结构上方的工具栏图标颜色由暗变明,点击“Report”-“Yes”:将扫描结果插入AWVS内置的数据库中
再次点击“Report”,生成扫描报告
10.根据不同要求,选择不同阅读者双方的报告,可生成不同类型的报告和细则,然后点击导出报告的图标,选择不同的格式,即可导出此次安全扫描的报告
结果分析(Analysis)
同样的,扫描结果并不代表完全真实可靠,还需要依靠人工再次验证判断。在AWVS扫描结果基础上,根据不同的严重级别进行排序、手工+工具验证的方式对漏洞验证可靠性,排除误报的情况,并尽可能找出漏报的情况,把本次扫描结果汇总,对以上已验证存在的安全漏洞排列优先级、漏洞威胁程度,并提出每个漏洞的修复建议
然后,再把此次安全漏洞整理的报告提交给项目负责人,由负责人决定哪些漏洞转给开发工程师修复,而后再由安全测试工程师进行回归验证修复的状况
以上是关于Awvs详细使用教程的主要内容,如果未能解决你的问题,请参考以下文章