前边的文章中,我们已经介绍过许多漏洞扫描的工具,今天我们就来介绍其中一款名叫AWVS漏洞扫描工具的使用。
Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行的安全漏洞。
AWVS的安装呢,我就不在这里多说了,大家可以访问它的官方网站:https://www.acunetix.com去下载最新版本的安装包,当然是试用版,大家也可以到网上搜索各种破解版,里边也有详细的安装教程,当然大家要支持正版。
AWVS官网
打开AWVS,我们就可以看到如下图所示的界面,我这款工具的版本是10.5版本,再高一点的版本就是Web页面形式的了,我个人觉得这款比较好用(可能用惯了吧),当然这个工具最常用的就是下图标注的网站扫描功能。
AWVS主界面
点击Web Scanner,我们就可以看到如下图所示的界面,点击红框中的输入框,就可以输入目标网站的URL,当然下拉菜单这种为我们提供了4个实例站点,分别是用html、php、asp、aspnet等语言编写的网站,这里我们选择第一个做测试。
输入目标站点
后边的那个输入框里我们可以选择要扫描的漏洞,这里的漏洞包括:SQL注入、XSS、CSRF及文件上传等漏洞,这里我们就选择系统预设值default,点击后边的“start”就可以开始扫描了。
选择对应漏洞
扫描完成后就会反馈如下图所示的信息,有扫描结果,包括:站点报警、站点结构等,其中红色表示高危漏洞,橙色表示中危漏洞,蓝色表示低危漏洞,绿色表示信息。还有简单的扫描报告,包括报警概要,统计了各种漏洞和信息的数量;站点信息,有目标站点的使用的操作系统和使用的服务等;统计数据,有发送的请求数和响应时间等信息;扫描进程,显示扫描进行了百分之多少。
扫描反馈信息
下面我们找几个高危漏洞,来验证一下扫描出的漏洞是否是真的存在,如下图所示,我们找XSS漏洞和弱口令漏洞来进行验证,右侧也给出了我们验证的方法,XSS漏洞是在username输入框中输入“<script>alert(9003)</script>”代码就可以返回内容为9003的弹框,弱口令已经给出了我们用户名:admin,密码:secret,只要用这个登录看是否成功就可以了。
漏洞信息
下面我们就来验证一下,XSS漏洞验证时发现网站的用户登录页面一直刷新不出来,所以没法验证了,我们只验证弱口令漏洞,我们访问站:http://testhtml5.vulnweb.com/admin,这个地址在漏洞信息里边可以看到,我们输入用户名:admin,密码:secret,如下图所示:
弱口令验证
点击确认,就会发现登录成功了,当然这个页面做的比较简陋,右边都还没有设计好,如下图所示:
登录成功
对于扫描好的结果,我们可以点击保存按钮,取个名字点击保存就可以了,当我们想再次查看时,点击打开按钮,找到我们保存的文件就可以了,如下图所示:
保存/打开扫描结果
我们也可以对多次扫描的结果进行对比,点击左侧“...”按钮选择第一次扫描的结果,点击右侧“...”按钮选择第二次扫描的结果,点击中间的对比按钮进行比较,因为我们是一次扫描保存了两次,所以对比结果都一致,如下图所示:
结果对比
上边那个扫描结果导出的是“.wvs”格式的,只有这个软件才能够识别,AWVS也有生成报告的功能,如下图所示:
报告
点击“reporter”这个按钮就会生成报告,这里只是报告的预览,左侧有报告的目录,要想导出报告,可以点击导出按钮,选择相应的格式就可以导出了,在这之前我们可以点击左侧“setting”,对报告进行设置,如下图所示:
报告
点击“setting”后,我们可以设置报告的模板,包括要点报告模板、快速报告模板等,也可以设置报告的logo图片,还可以对报告的页面进行设置,这里就不多说了,如下图所示:
设置
这个工具主要就是漏洞扫描,其他功能我用的也不太多,有兴趣的朋友可以自己安装去试一试,今天我们就介绍到这里,以上就是AWVS漏洞扫描工具进行漏洞扫描的全部内容,大家学习到技术不要做违法的事,我们的目的是提高大家的渗透测试技术,法律的底线还是不要碰了,感谢阅读,欢迎关注@科技兴,了解更多科技尤其是网络安全方面的资讯和知识。