一、AWVS简介
Acunetix Web Vulnerability Scanner(简称AWVS)是一个自动化的Web漏洞扫描工具,它可以扫描任何通过Web浏览器访问和遵循HTTP/HTTPS规则的Web站点。
AWVS原理是基于漏洞匹配方法,通过网络爬虫测试你的网站安全,检测流行安全漏洞。
AWVS可以检测什么漏洞,它有什么优势?
AWVS可以通过SQL注入攻击、XSS(跨站脚本攻击)、目录遍历、代码执行等漏洞来审核web应用程序的安全性并输出扫描报告。相对于手动测试的复杂和耗时,它能快速的发现漏洞来提高效率和漏洞覆盖面。
AWVS操作简单,很适合初学者来学习和掌握。
二、安装 AWVS
1、直接将下好的awvs文件右键提取解压
链接: https://pan.baidu.com/s/1r-hluqrxGScESv5OQWRrtw 密码: cl8q
2、给awvs和破解程序分配权限
kali终端运行命令:chmod 777 filename(文件名)
kali里面每个用户的角色和权限划分的很细致也很严格,而操作文件或目录的用户,有3种不同类型:文件所有者、群组用户、其他用户。777分别对应三种用户,7表示可读4可写2可执行1的权限值之和
chmod 777 acunetix_trial.sh :赋予awvs文件权限chmod 777 patch_awvs:赋予激活文件权限
3、进入到文件所在的目录,输入./ acunetix_trial.sh 直接运行安装 (./表示当前目录)
4、激活配置
把激活文件patch_awvs复制到/home/acunetix/.acunetix_trial/v_190325161/scanner/下
命令:
cp patch_awvs /home/acunetix/.acunetix_trial/v_190325161/scanner/进入刚复制一份的路径下:
cd /home/acunetix/.acunetix_trial/v_190325161/scanner/激活命令:
./patch_awvs
三、AWVS的案例扫描
开启AWVS
1、打开kali,开启AWVS服务
开启服务:service acunetix_trial start
查看服务状态:
状态为active(running)表示开启
2、用浏览器打开Awvs的客户端
https://(kali的IP地址):13443
(13443为linux下awvs的默认端口,3443是windows下awvs的默认端口)
3、输入安装时的邮箱账号和密码登陆
AWVS的左侧功能模块主要为六个:
1、Dashboard:仪表盘模块,你扫描过的网站的一些漏洞信息这里会显示
2、Targets:目标模块,就是你要扫描的目标网站
3、Vulnerabilities:漏洞模块,显示扫描的漏洞详情
4、Scans:扫描模块,从Target里面选择目标站点进行扫描
5、Reports:报告模块,漏洞扫描完之后的报告
6、Settings:设置模块,就是软件的一些设置,包括软件更新,代理设置等等
扫描测试
1、添加Target :填写目标的域名或者IP
2、设置扫描选项:
扫描速度Scan Speed(越慢则越仔细)、站点是否需要登陆Site Login、针对不同Web站点的扫描插件AcuSensor(能帮助搜集到更多信息)等
3、设置扫描类型和扫描时间
4、保存设置,点击Create Scan开始扫描
四、分析AWVS扫描报告
五、AWVS常见问题
1、windows下支持安装AWVS吗?
支持
2、AWVS忘记了密码怎么办,需要重新安装吗?
不需要,可以进入kali的
/home/acunetix/.acunetix_trial目录下,
运行change_credentials.sh,可以直接重置密码