大家好,又见面了,我是你们的朋友全栈君。
AWVS简单介绍
Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫检查SQL注入攻击漏洞、XSS跨站脚本攻击漏洞等漏洞检测流行安全漏洞,来审核Web应用程序的安全性。 但有些漏洞,还是扫不出来的,比如:逻辑漏洞、一些较隐蔽的XSS和SQL注入。所以,渗透的时候,工具一般都是需要人员来配合使用的。 AWVS官方网站是:http://www.acunetix.com/ ,目前主流的版本是9,10,10.5,11(11版本之后是网页端打开形式),官方下载地址:https://www.acunetix.com/vulnerability-scanner/download/ ,官方免费下载的是试用14天的版本
激活成功教程版下载链接(10.5版本):链接: https://pan.baidu.com/s/1t6VV7dl4MTaooirW4F9VgQ 提取码: mk4e
AWVS功能
webscanner 核心功能 web安全漏洞扫描 Site Crawler 爬虫功能 遍历站点目录结构 Target Finder 端口扫描 找出web服务器 ,80,443 Subdomain Scanner 子域名扫描器 利用DNS查询 Blind SQL Injector 盲注工具 HTTP Editor http协议数据的编辑器 HTTP Sniffer http协议嗅探器 HTTP Fuzzer 模糊测试工具 Authentication Tester web认证激活成功教程工具
AWVS特点
- 自动的客户端脚本分析器,允许对Ajax和Web2.0应用程序进行安全性测试
- 业内最先进且深入的SQL注入和跨站脚本测试
- 高级渗透测试工具,例如: HTTP Eidtor 和 HTTP Fuzzer
- 可视化宏记录器帮助您轻松测试web表格和受密码保护的区域
- 支持含有CAPTHCA的页面,单个开始指令和Two Factor(双因素)验证机
- 高速爬行程序检测web服务器类型和应用程序语言
7.智能爬行程序检测web服务器类型和应用程序语言
- 端口扫描web 服务器并对服务器上运行的网络服务执行安全检查
- 可导出网站漏洞文件报告
AWVS简单使用
1,webscanne站点扫描
1,点击New Scan
2、点击扫描配置就是Scan Setting页面
3、发现目标服务器基本信息
4、是否需要登录,可以使用login sequence
5、finish,扫描结果可以保存为wvs文件,还可以把结果制作成报表
2,Site Crawler爬虫
遍历站点目录结构,点击tools中的Site Crawler,点击start即可进行站点查询,如图:
3,Target Finder 端口扫描
可以指定IP地址段进行端口扫描(类似于Nmap),可以用与信息收集。 进行了端口扫描后会进行服务发现,得到端口上对应的服务
4,Subdomain Scanner子域名发现
用DNS进行域名解析,找域名下的子域及其主机名(用于信息收集)可选择使用操作系统默认配置的DNS服务器或自定义的一个DNS服务器
5,Blind SQL Injector盲注工具
在相应参数位置按 添加注入点,让AWVS进行注入探测,可以dump有sql漏洞的数据库内容
6,HTTP Editor HTTP编辑器
和BP repeater类似,可以进行手动漏洞挖掘探测,Enocoder tool中可以进行各种加密解密
7,HTTP sniffer HTTP嗅探
和BP proxy类似,首先要设置代理(Application Settings->HTTP Sniffer),截取数据包,修改数据包提交或者丢弃。
利用代理功能进行手动爬网(保存为slg文件,在Site Crawler页面点击Build structure from HTTP sniffer log),得到自动爬网爬取不到的文件
8,HTTP Fuzzer
类似于BP intruder,进行暴力激活成功教程,点击 选择类型,点击insert插入 注意:插入字母的时候选取字母的范围填写的是字母对应的ASCII码
9,Authentication Tester 验证测试
验证测试,用于尝试激活成功教程激活成功教程账户密码。Acunetix 基于表单的认证方法要点击Select 选择表单的哪一部分是用户名,那一部分是密码 结果比较(Compare Results) Acunetix 可以用不同用户登录后结果进行比较,和BP Compare类似
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/190658.html原文链接:https://javaforall.cn