目录
本文仅供学习使用,请谨慎使用AWVS
1 Web 漏洞扫描
随着互联网的发展,Web 应用越来越多,同时Web 应用的攻击成本、攻击难度都比较低,Web 应用成为黑客攻击的主要目标。无论黑客处于什么样的目的,Web 应用所面临的挑战都很大的。
如何即时、快速的发现漏洞,并且修补漏洞,减轻和消除Web 安全风险成为安全行业的重要课题
小型的Web 应用几十上百个页面,大型的Web 应用成千上万个页面,如果靠人工的方法,显然是不可取的。因此我们就需要借助于自动化工具,帮助审计员去发现Web 漏洞。
市面上的Web 漏洞扫描器有很多,其中IBM 公司的AppScan 和商业化Web 漏洞扫描器AWVS 为优秀。Web 漏洞扫描器大同小异,本课程以AWVS 为例子,讲解Web 漏洞扫描器的使用。
2 Web 漏洞扫描步骤
进行Web 漏洞扫描的时候,大致分为以下几个步骤:
(1)爬行网站目录;
爬行网站目录结构对传统的网站比较适用,如asp、.net、php等网站。框架类的不建议爬行网站目录结构
比如用JAVA框架开发的,并不是单纯的文件存在的。例如
http://domain/1/2/3/4/hello #并不是在根目录下1文件夹,1文件夹下有2文件夹
http://domain/index.php #也是框架类的
(2)使用漏洞脚本扫描;
(3)保存扫描结果
3 Web漏洞扫描器AWVS的安装
AWVS:Acunetix Web Vulnerability Scanner是一款知名的Web漏洞扫描工具,通过网络爬虫测试网站安全,检测流行的Web应用攻击,如跨站脚本、sql 注入等。
3.1 AWVS破解版下载
点击此处百度网盘下载WindowsAWVS版本(在Windows安装)(包含AWVS11版本+AWVS10.5版本)。其中AWVS10.5版本为本地客户端软件,AWVS11版本为web页面的。提取码:1i73;解压密码:www.fujieace.com
3.2 Web漏洞扫描器AWVS的安装
以安装AWVS10.5版本为例子,将AWVS安装在虚拟机win7中,具体步骤如下:
(1)将下载的AWVS10.5版本解压,然后复制到虚拟机win7中,如下所示:
(2)双击Web漏洞扫描器AWVS的exe软件包;
(2)点击“Next";
(3)选择我同意,并点击“Next";
(4)需要选择安装路径,默认即可,并点击“Next";
(5)询问是否创建桌面图标,保持勾选,并点击“Next"
(6)点击”Install“,开始进行安装
(7)安装完毕,点击”Finish“
(8)之后弹出这样一个页面,要求输入license。
(9)AWVS激活。双击以下激活软件包→点击PRTCH按钮→需要输入license的界面自动填写完整→点击Next
(10)激活成功,点击Finish,AWVS安装完毕。
4 使用AWVS 扫描testfire.net
使用Web 漏洞扫描器AWVS 扫描testfire.net的具体步骤如下。注意,testfire.net是IBM公司为了演示其著名的web应用安全扫描器AppScan的强大功能所建立的测试站点。
(1)Web 漏洞扫描器AWVS的安装过程详见《【AWVS工具-1】Web漏洞扫描器AWVS的详细安装过程》
(2)打开虚拟机win7,并打开AWVS软件。(注意,win7虚拟机需桥接到真实网络)
(3)建议选择Cancel
(4)创建扫描目标
- 1)单击File→New→Web site Scan 新建一个扫描
- 2)在Website URL中输入网址
http://www.testfire.net,点击Next。
- 3)进行扫描配置,一般默认即可,除非有特殊的要求。
- 4)目标网站的一些参数,及脚本类型,一般默认即可,选择next
- 5)保持默认即可,点击next。有些网站需要登录,才能访问其他页面,此时就需要设置自动登录的用户名和密码。
- 6)点击Finish,则开始进行自动的扫描。
(5)保存扫描结果
参考文章
[1] 视频传送门
