1.2 AWVS
AWVS即Acunetix WVS,全称Acunetix Web Vulnerability Scanner,它是一款常用的WEB应用程序安全测试工具,该工具可以对任何可通过WEB浏览器访问的和遵循HTTP/HTTPS规则的WEB站点和WEB应用程序进行扫描。本书介绍的BurpSuite版本为Version:11.0.170951158。
Acunetix Web Vulnerability Scanner 包含多种创新功能:
lAcuSensor 技术。
l自动的客户端脚本分析器,允许对 Ajax 和WEB 2.0 应用程序进行安全性测试。
l业内最先进且深入的 SQL 注入和跨站脚本测试。
l高级渗透测试工具,例如 HTTP Editor 和 HTTP Fuzzer。
l可视化宏记录器帮助您轻松测试WEB表格和受密码保护的区域。
l支持含有 CAPTHCA 的页面,单个开始指令和 Two Factor(双因素)验证机制。
l丰富的报告功能,包括 VISA PCI 依从性报告。
l高速的多线程扫描器轻松检索成千上万个页面。
l智能爬行程序检测 WEB服务器类型和应用程序语言。
lAcunetix 检索并分析网站,包括 flash 内容、SOAP 和 AJAX 端口扫描WEB服务器并对在服务器上运行的网络服务执行安全检查。
1. 设置扫描
登录AWVS后点击Create new Target超链,在Address中输入需要检测的URL地址,如18所示。
18 添加AWVS扫描URL地址
输入完毕,点击【Add Target】按键,如19所示。
19 添加AWVS扫描URL地址完毕
在开始扫描之前可以设置Site Login或AcuSensor。
lSiteLogin分为“尝试自动登录到网站”和“使用预先录制的登录顺序”。
lAcuSensor允许扫描器从php或.net WEB应用程序收集更多信息,从而改进扫描结果并减少误报。为WEB应用程序选择正确的acusensor,并在运行WEB扫描之前安装它。
最后点击【Save】按键。
2. 扫描
点击【Scan】按键,开始扫描。在扫描之前出现如20页面。通过它可以设置扫描类型、扫描报告以及扫描计划。
20扫描前设置页面
点击【Create Scan】,开始扫描。21为当前扫描安全级别信息。
21当前扫描安全级别信息
22为扫描进度信息。
22扫描进度信息
23为扫描服务器端的信息。
23扫描服务器端的信息
24为最近扫描到的具有安全隐患的页面,点击进入后可以查看详情。
24扫描安全漏洞信息
3. 扫描报告
扫描完毕,点击左边【Report】菜单,选择report类型,生成报告。生成完毕点击下载。打开生成的pdf文件即可查看所有的测试报告。25是一个SQL注入的安全漏洞报告。
25 SQL注入安全漏洞报告
星云测试
http://www.teststars.cc
奇林软件
http://www.kylinpet.com
联合通测
http://www.quicktesting.net
