AWVS安全扫描工具使用（二）

这节课主要讲解AWVS工具的简单使用：
上一节内容，我们讲解了AWVS的安装，安装成功后，我们就要简单的进行使用
一：AWVS 整个程序界面

①、标题栏 ②、菜单栏 ③、工具栏 ④、主要操作区域 ⑤、主界面 ⑥、状态区域
二：主要操作区域

三：AWVS的菜单栏、工具栏简介

a)、菜单栏

File——New——Web Site Scan ：新建一次网站扫描
File——New——Web Site Crawl：新建一次网站爬行
File——New——Web Services Scan：新建一个WSDL扫描
Load Scan Results：加载一个扫描结果
Sava Scan Results：保存一个扫描结果
Exit：退出程序

Tools：参考主要操作区域的tools

Configuration——Application Settings：程序设置
Configuration——Scan Settings：扫描设置
Configuration——Scanning Profiles：侧重扫描的设置

Help——Check for Updates：检查更新
Help——Application Directories——Data Directory：数据目录
Help——Application Directories——User Directory：用户目录
Help——Application Directories——Scheduler Sava Directory：计划任务保存目录
Help——Schedule Wen Interface：打开WEB形式计划任务扫描处
Help——Update License：更新AWVS的许可信息
Help——Acunetix Support——User Mannul(html)：用户HTML版手册
Help——Acunetix Support——User Mannul(PDF)：用户PDF版手册
Help——Acunetix Support——Acunetix home page：AWVS官网
Help——Acunetix Support——HTTP Status：HTTP状态码简介
b）工具栏

从左到右分别是（这些都可以在主要操作区域找到，所以不常用）
新建扫描——网站扫描——网站爬行——目标查找——目标探测——子域名扫描——SQL盲注——HTTP编辑——HTTP嗅探——HTTP Fuzzer——认证测试——结果对比——WSDL扫描——WSDL编辑测试——程序设置——扫描设置——侧重扫描设置——计划任务——报告
四：一次新的扫描工具
1、点击菜单栏的 New Scan 新建一次扫描， 网站扫描开始前，需要设定下面选项:
1). Scan type
2). Options
3). Target
4). Login
5). Finsh
1.Scan type：

1. Scan single website：在Website URL处填入需要扫描的网站网址，如果你想要扫描一个单独的应用程序，而不是整个网站，可以在填写网址的地方写入完整路径。wvs支持HTTP/HTTPS网站扫描。

②：Scan using saved crawling results：导入WVS内置 site crawler的爬行到的结果，然后对爬行的结果进行漏洞扫描。

③：Access the scheduler interface：如果被扫描的网站构成了一个列表形式(也就是要扫描多个网站的时候)，那么可以使用Acunetix的Scheduler功能完成任务，访问 http://localhost:8183，扫描后的文件存放在“C:\Users\Public\Documents\Acunetix WVS 10\Saves”.
2. Options：

Scanning options ：侧重扫描的漏洞类型设置

①：Scanning profile：设置侧重扫描的类型，包含16种侧重检测类型，如下：

每种侧重扫描的类型又有包含多种扫描script，如果需要做调整或者修改，请查看 Configuration >> Scanning Profiles

Scanning Profiles中的每个侧重扫描的类型下都包含了非常多的扫描脚本，由于太多我就不一一介绍，随便点击一个，右边就有对该扫描脚本的介绍，随意抽选几个介绍，例如：
ftp_anonymous.script：扫描ftp匿名登录漏洞 PHPInfo.script：扫描是否有phpinfo泄露

Backup_File.script：扫描网站的备份文件 wordpress_8.script：针对 wordpress弱口令测试

3.Advanced：

进入高级之后分别是：
①：在爬行结果之后选择我们需要扫描哪些文件
②：自定义从哪里开始扫描，导入txt文件，例如扫描http://www.baidu.com，不想从根路径开始扫，而从二级目录http://www.baidu.com/test/，将其保存到txt文件中之后将从test二级目录开始扫描
③：爬行的时候使用外部测试工具，蜘蛛爬行的过程中将运行您设置的命令，以及超时时间设置
④：设置包含一个火狐扩展插件Selenium IDE生成的HTML文件，蜘蛛爬行的过程中将会根据它来进行爬行。
4.Target：

（a)、扫描目标的根路径
(b)、服务的banner
©、目标URL
(d)、目标操作系统
（e)、目标的Web容器
(f)、目标的程序语言
5.Login：

①：使用预先设置的登录序列，可以直接加载lsr文件，也可以点击白色处开始按照步骤新建一个登录序列(具体步骤参考后面的演示)
②：填写用户名密码，尝试自动登录.在某些情况下，可以自动识别网站的验证
6. Finish：

①：使用AcuSensor传感技术的设置
②：爬行与扫描中是否区分大小写
③：将这次的设置保存为一个策略，以便下次直接使用策略
开始扫描：