漏洞分析工具——AWVS安装与使用

炫炫

漏洞扫描

漏洞扫描是指基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用漏洞的一种安全检测（渗透攻击）行为
常见漏洞扫描工具

网络上公布的付费的或者免费的漏洞扫描工具、脚本多种多样

• 针对某类漏洞的: sql注入(sqlmap) . weblogic (weblogicscan)
  
• 针对某类CMS的: wordpress (wpscan) . dedecms (dedecmsscan)
  
• 针对系统应用层: nessus
  
• 针对某类框架的:Struts2 (Struts2漏洞检查工具)、springboot (SB-Actuator)
  
• 针对web服务的: burpsuite、xray、awvs
  

AWVS

本篇文章主要讲讲AWVS的使用
Acunetix Web Vulnerability Scanner(简称AWVS)）是一款知名的网络漏洞扫描工具，它通过网络爬虫测试你的网站安全，检测流行安全漏洞
从11.0版本开始，AWVS就变成了使用浏览器端打开的形式，使用安装时自定义的端口来访问
AWVS功能特点

• WebScanner:核心功能,web安全漏洞扫描(深度，宽度，限制20个)
  
• Site Crawler:爬虫功能，遍历站点目录结构
  
• Target Finder :端口扫描，找出web服务器(80、443)
  
• Subdomian Scanner子域名扫描器，利用DNS查询
  
• Blind SQL Injector :盲注工具
  
• Http Editor http:协议数据包编辑器
  
• HTTP Sniffer : HTTP协议嗅探器(fiddler，wireshark,bp)
  
• HTTP Fuzzer:模糊测试工具(bp)
  
• Authentication Tester : Web认证破解工具
  

AWVS下载

下载链接: 文件下载-奶牛快传  提取码:hetianlab


安装



破解

将patch.exe和patch.dat复制到AWVS安装目录(安装目录位于C:\Program Files (x86)\Acunetix\12.0.190530102)
AWVS页面布局

• 仪表盘
  
• 目标
  
• 漏洞
  
• 扫描
  
• 报告
  
• 设置
  

仪表盘

• 上方为漏洞数量
  
• 中间为任务进度
  
• 左下为扫描目标
  

目标（新建扫描）
点击Add Target新建扭描，Address为需要扫描的域名或IP，Description为描述


报告
Reports主要展示一些生成的扫描报告，可以点击右侧的download按钮下载对应的扫描报告
批量扫描（下载）
场景:遇到大批量的目标时，例如可能一个项目有上k个网站时候，这个时候我们需要利用批量的扫描器来进行操作
下载链接:文件下载-奶牛快传 Download ｜Cowtransfer
批量扫描（修改）
第7行: username
第9行: password


批量扫描（运行）
注意:脚本需要在python2.7.9下运行
环境变量配置，在系统变量path里添加:
安装路径
安装路径\Scripts

蒋俊

支持，赞一个

李全华

啥玩应呀