1.2 AWVS
AWVS即Acunetix WVS,全称Acunetix Web Vulnerability Scanner,它是一款常用的WEB应用程序安全测试工具,该工具可以对任何可通过WEB浏览器访问的和遵循HTTP/HTTPS规则的WEB站点和WEB应用程序进行扫描。本书介绍的BurpSuite版本为Version:11.0.170951158。
Acunetix Web Vulnerability Scanner 包含多种创新功能:
- AcuSensor 技术。
- 自动的客户端脚本分析器,允许对 Ajax 和WEB 2.0 应用程序进行安全性测试。
- 业内最先进且深入的 SQL 注入和跨站脚本测试。
- 高级渗透测试工具,例如 HTTP Editor 和 HTTP Fuzzer。
- 可视化宏记录器帮助您轻松测试WEB表格和受密码保护的区域。
- 支持含有 CAPTHCA 的页面,单个开始指令和 Two Factor(双因素)验证机制。
- 丰富的报告功能,包括 VISA PCI 依从性报告。
- 高速的多线程扫描器轻松检索成千上万个页面。
- 智能爬行程序检测 WEB服务器类型和应用程序语言。
- Acunetix 检索并分析网站,包括 flash 内容、SOAP 和 AJAX 端口扫描WEB服务器并对在服务器上运行的网络服务执行安全检查。
1. 设置扫描
登录AWVS后点击Create new Target超链,在Address中输入需要检测的URL地址,如18所示。
18 添加AWVS扫描URL地址
输入完毕,点击【Add Target】按键,如19所示。
19 添加AWVS扫描URL地址完毕
在开始扫描之前可以设置Site Login或AcuSensor。
lSiteLogin分为“尝试自动登录到网站”和“使用预先录制的登录顺序”。
lAcuSensor允许扫描器从php或.net WEB应用程序收集更多信息,从而改进扫描结果并减少误报。为WEB应用程序选择正确的acusensor,并在运行WEB扫描之前安装它。
最后点击【Save】按键。
2. 扫描
点击【Scan】按键,开始扫描。在扫描之前出现如20页面。通过它可以设置扫描类型、扫描报告以及扫描计划。
20扫描前设置页面
点击【Create Scan】,开始扫描。21为当前扫描安全级别信息。
21当前扫描安全级别信息
22为扫描进度信息。
22扫描进度信息
23为扫描服务器端的信息。
23扫描服务器端的信息
24为最近扫描到的具有安全隐患的页面,点击进入后可以查看详情。
24扫描安全漏洞信息
3. 扫描报告
扫描完毕,点击左边【Report】菜单,选择report类型,生成报告。生成完毕点击下载。打开生成的pdf文件即可查看所有的测试报告。25是一个SQL注入的安全漏洞报告。
25 SQL注入安全漏洞报告
星云测试
奇林软件
联合通测
顾翔凡言:
k=(p+m)t
其中:
k为常数。
p:团队人员质量水平,为单位小时内产生的有效质量,单位为/h;
m:团队方法质量水平,为单位小时内产生的有效质量,单位为/h;
t:为单位质量产品的交付时间,单位为h。
在团队方法质量水平不变,团队人员质量水平提高的情况下,交付时间变短;
在团队人员质量水平不变,团队方法质量水平提高的情况下,交付时间变短;
团队人员质量水平与方法质量水平乘积决定了软件的质量水平,如果这个值变小,则t变大;反之t变小。
例如,当k=4时:
当人员质量水平为1/小时、方法水平为1/小时时,交付时间为2小时。
当人员质量水平为2/小时、方法水平为1/小时时,交付时间为4/3小时。
当人员质量水平为1/小时、方法水平为2/小时时,交付时间为4/3小时。
当人员质量水平为0.5/小时、方法水平为0.5/小时时,交付时间为4小时。
