Directorio artículo
AWVS Introducción
awvs nombre completo Acunetix Web Vulnerability Scanner, se utiliza principalmente para los problemas de seguridad de las aplicaciones de exploración web, tales como la inyección SQL, XSS, salto de directorio, archivo incluido, manipulación de parámetros, ataques de autenticación, inyección de comandos, es una red de herramientas de análisis de vulnerabilidades. Aquí la versión antigua y nueva del tutorial se divide en dos, dos versiones tienen sus propias ventajas.
Legado: Mobile Toolkit
Nuevo: conveniente
AWVS10.5
Asistente de análisis
1. El siguiente diagrama es su interfaz principal
2. Crear una nueva columna, desde la caída seguida de una nueva exploración, el nuevo rastreo, la exploración del nuevo servicio, un nuevo informe (Inglés básico), la columna de archivos, de arriba a abajo son nuevos, hace importación escanear y guardar los registros digitalizados (que no era un poco largo aliento)
3. Configurar, abriendo la configuración es cierta configuración, configuración de la aplicación, las configuraciones de escaneo, etc. (bastante completo) explorar los perfiles de algunos de los módulo de análisis de secuencia de comandos, que se utiliza para determinar la vulnerabilidad
4. exploración Wizard (nueva exploración se abrirá), el primer bloque de direcciones se escanea, el segundo cuadro antes de que el efecto de que si se puede subir registros en el rastreo
5. configuración de escaneo, el primer tipo defecto es un marco, generalmente todo por defecto, el segundo cuadro es la configuración del análisis son por lo general el valor por defecto, por supuesto, también puede definir su propio, haga clic en el botón en la parte posterior de los parámetros de análisis se establecen, el tercer cuadro es reptiles, puede elegir qué archivos a escanear, puede escanear múltiples enlaces (txt con la importación)
6. configuración de escaneado (interés puede mirar para ver omitir esta parte no está interesado)
- La recopilación de información, entonces usted necesita para comprobar Habilitar el escaneo de puertos, el puerto le escanear
- GHDB, el escaneo de documentos sensibles, puede seleccionar todo
- Set reptiles, todo en Inglés (soy tan mala persona para Inglés, la traducción es necesario), está interesado puede ir a buscar el significado de lo
- Se trata de un filtro de archivos, reptiles * Seleccionar se entiende, excluir a un omitir estos archivos sufijos
- directorios y archivos de filtro, forman expresiones regulares.
- la configuración del proxy
- Análisis en profundidad, a su vez, en la línea de
- una cookie se establece, si hay algún valor de la cookie de este sitio puede ser añadido a la lista
- La exploración de puertos, puede configurar los puertos que no se escanean
7. reconocer automáticamente parte de la información
8. Cierre la sesión, si no inicia la sesión para subir los reptiles no son de contenido específico, esta función es similar a un vídeo, para procesar su proceso de cierre de sesión de inicio de sesión y registro abajo, de acuerdo con un registro de rastreo de nivel profundo (es decir, awvs en el momento de inicio de sesión, muy simples)
9. el primer cuadro es un sensor, detrás explicación concreta, la segunda es subir el enlace si desea escanear un cierto uno de ellos se comprueba, la tercera area, para salvar esta exploración, mantenga después de su uso
para comenzar a escanear 10.
Los análisis de informe (Barrió el verdadero maná)
1. Seguridad vulnerabilidades nivel de riesgo y el número de etapas
2. La columna siguiente es la información de destino, como si la respuesta, la versión de servidor web, sistemas operativos, etc.
3. escaneado de tiempo, el tiempo de petición, la respuesta
4. El resultado de barrer, aspecto Web vulnerabilidades
5. se señala mirada al interior, se puede ver más detalles, véase la descripción: esta página segura (https) que contiene un formulario que se publica en las páginas no seguras (HTTP). Pueden pensar que sus datos están cifrados, pero en realidad no lo es. Puede ser útil vincular tal cosa como un fracaso. trucción sitio es escanear el directorio.
6. Haga clic en la página informe para generar un informe, haga clic en la parte roja de la exportación
varias funciones
Sitio sobre orugas (de acuerdo a sus propias necesidades que se establezcan)
La primera: http sniffer abierta durante la exploración introducir es permitir a los usuarios navegar de forma manual para evitar que los reptiles no se suben, cuando la exploración cuando el final de la subida no se abrirá
el segundo elemento: la única arrastrándose enlaces Inicio ( Todos)
tercero: no coger el directorio padre
cuarta: subdirectorio captura
quinta: incluso cuando no están conectados también para obtener el índice de directorio
sexto: el manejo de robots.txt y sitemap.xml
séptimo: ignorar caso
octava : prioridad que se arrastra estos archivos
novena: prevenir directorio de recursividad infinita, tales como admin / admin / admin ...
el tema 10, las solicitudes de archivo único vínculo
tema 11: ignorar el formato de archivo apropiado
el tema 12, 404 para evitar
la primera 13: si la www como una
primera 14: entrada de habilitación heurística límite
artículo 15: prohibición de las aplicaciones conocidas de la operación de trazado
artículo 16: optimización de las aplicaciones conocidas
Editor HTTP
Haga clic para abrir, para dar encabezado de la solicitud, los datos de solicitud, algo así como análisis de la estructura (modificaciones)
puede llevarse a cabo el cifrado y descifrado, el protocolo, el método de solicitud y similares
Buscador de destino (búsqueda de objetivos)
Escanear un rango de IP o se pueden obtener datos de solicitud de petición de cabecera
Subodmain escáner (subdominio de exploración)
De entrada es el dominio raíz, y sin WWW que, si bien el tiempo y el DNS se pueden seleccionar, similar al dominio exploraciones xxxx.acunetix.com
Autenticación Tester (prueba de certificación)
De arriba a abajo están certificados dirección, forma de diccionario y http, palabras claves incorrectas, nombre de usuario y contraseña
se detectará automáticamente el cuadro de entrada, y luego se corresponden con el nombre de usuario y contraseña, establecer una palabra clave, comience en la línea.
HTTP Sniffer
Brupsuite con funciones similares, paquete de captura de cambios, creado después de que la agencia pueda
Aquí se pueden establecer varias trampas, similar al paquete de cambio
después de establecer una trampa en la que se abrirá automáticamente, todo puede ser modificado
HTTP Fuzzer
Esta función es similar a la función brupsuite voladura.
Después de la captura de copiar y pegar esta columna, a continuación, fuzzer filtro puede ser proporcionada, como se describe en la regla, el tipo de regla, etc. (Hay algunos salto WebShell, un código de respuesta 302)
se inserta en el punto de prueba, añadir un tipo de variable, tal como un tipo digital, tipo de caracteres, tipo de archivo, y así sucesivamente, se cargan el diccionario de elegir el tipo de archivo.
Aquí puede cargar el diccionario, formato txt
AWVS12
panel
La nueva versión de AWVS no un montón de herramientas, pero mucho más rápido, lo más conveniente es en la página, no se traducen directamente en Inglés
proceso
1. Haga clic en Objetivos, añadir Objetivo añadir URL, puede importar lotes
2. Puede rellenar la contraseña de cuenta, fácil autenticado (como la versión anterior también puede generar un archivo de registro), y no pueden unirse al sitio de barrido (tales como amortización)
3. el correspondiente conjunto de reptiles
4. Puede ajustar la velocidad de exploración, el grado de vulnerabilidad de riesgo, añadir una descripción, establecer el escaneo continuo, etc.
5. Haga clic en exploración, fijarse de acuerdo con lo que usted quiere
mucho más fácil que la versión antigua de la nueva versión 6, debido a la existencia de la traducción, esta columna se puede ver la vulnerabilidad, la detección de vulnerabilidades, generar informes, vista de detalles de la vulnerabilidad
7. estrategias de exploración conjunto se seleccionan en la línea
sólo se puede decir que cada uno tiene ventajas de
