web漏洞扫描之AWVS
文章目录
简介
本篇文章是在基于kali中安装,windows安装awvs可以参照此博客
AWVS
是一个自动化的web
漏洞扫描工具,它可以扫描任何通过web浏览器访问和遵循HTTP/HTTPS
规则的web
站点。
-
AWVS
原理是基于漏洞匹配方法,通过网络爬虫测试你的网站安全,检测流行安全漏洞。 -
AWVS
可以通过SQL
注入、XSS
、目录遍历、代码执行等漏洞来审核web
应用程序的安全性并输出扫描报告。相对于手动测试的复杂和耗时,它能快速的发现漏洞来提高效率和漏洞覆盖面。
开启
-
打开
kali
,开启AWVS
服务
开启服务:service acunetix_trial start
查看服务状态:service acunetix_trial status
状态为绿色的active(running)
表示开启 -
用浏览器
Bing
打开awvs
的客户端 (13443
为linux
下awvs
的默认端口,3443
是windows
下awvs
的默认端口)
https://192.168.226.131:13443
- 输入安装时的邮箱账号和密码登陆.
扫描测试
-
添加
Target
:填写目标的域名或者IP
-
设置扫描选项:
扫描速度Scan Speed
(越慢则越仔细)、站点是否需要登陆Site Login
、针对不同Web
站点的扫描插件AcuSensor
(能帮助搜集到更多信息)等 -
设置扫描类型和扫描时间
-
保存设置,点击
Create Scan
开始扫描 -
找到扫描功能模块,可以看到扫描出的基本信息,如
web
服务器版本,操作系统,脚本语言等
-
找到漏洞模块,可以看到扫描的结果,找到的漏洞可能存在误报,因此需要进一步的验证。
-
漏洞扫描报告方便整理扫描信息,验证漏洞。
AWVS忘记了密码?
不需要重新安装,可以进入kali
的/home/acunetix/.acunetix_trial
目录下,运行change_credentials.sh
,可以直接重置密码。