AWVS扫描在线站点实现安全评估

简介: AWVS扫描在线站点实现安全评估

简介

Acunetix WVS是自动化的应用程序安全测试工具,支持Windows平台。用于扫描web应用程序上的安全问题,比如SQL注入,XSS,目录遍历,命令注入等。通过扫描 可用于测试的 http://testhtml5.vulnweb.comhttp://test.acunetix.com/查看详细的漏洞扫描样本。可用于测试的 http://testhtml5.vulnweb.com

image.png

AWVS是一款常用的Web应用程序漏洞扫描工具,它可以扫描Web应用程序中的各种漏洞,包括SQL注入、跨站点脚本、文件包含、文件上传等。以下是AWVS扫描的基本步骤:

1.打开AWVS,创建一个新的扫描任务。

2.输入要扫描的目标URL,选择扫描类型和扫描策略。

3.配置扫描设置,包括扫描速度、扫描范围、登录认证等。

4.保存设置后,点击“Create Scan”开始扫描。

5.找到扫描功能模块,可以看到扫描出的基本信息,如Web服务器版本、操作系统、脚本语言等。

6.找到漏洞模块,可以看到扫描的结果,找到的漏洞可能存在误报,因此需要进一步的验证。

7.分析AWVS扫描报告,可以方便地整理扫描信息,验证漏洞。

AWVS漏洞库可以通过以下两种方式进行更新:

1.手动更新:在AWVS的主界面中,点击“扫描”按钮,然后选择“漏洞库更新”选项,手动更新漏洞库。

2.自动更新:在AWVS的设置中,选择“漏洞扫描”选项,然后选择“自动更新漏洞库”选项,设置自动更新漏洞库的时间间隔。

需要注意的是,AWVS漏洞库的更新需要联网才能完成。同时,为了保证漏洞库的准确性和及时性,建议定期更新漏洞库。


image.png

[Web Scanner]网站扫描器

image.png

网站扫描

 http://testhtml5.vulnweb.com

扫描器会自动爬取页面,然后来发送神偷测试代码

导出扫描

image.png

[Site Crawler] 站点爬取

 http://testhtml5.vulnweb.com

image.png

[Target Finder]目标查找

这个功能比较鸡肋,不如使用arp-scan工具或者nmap


image.png


[Subdomain Scanner]子域名扫描


image.png

SQL盲注功能

通常是在在扫描的时候发现有一个盲注的漏洞报错,然后进入该节点右键发送给sql注入,就可以吧请求数据包发送过去。但是不如专业的sql注入工具

image.png

image.png

选择参数,点击可添加,然后标记为可注入点(如图)。这样一会儿sql会让标记位置发送探测信息。但是AWVS的sql盲注只支持MySQL和SQLSever两个数据库。

如果报错点ok

image.png

http重放功能

image.png


然后点击Only

image.png

HTTP嗅探

默认端口为8080,如果有别的软件已经占用,需要更改

注意要将浏览器代理这设置为8080

image.png

[HTTP Fuzzer] HTTP模糊测试

发送到http fuzzer

image.png

image.png


开启模糊测试

image.png

HTTP基础认证/表单认证po解  

basic authentication  

image.png


form authentication

image.png


image.png

image.png

[Compare Resultes] 结果比较

image.png

[Web Services] 网站服务扫描  

 http://testaspnet.vulnweb.com/acuservice/ service.asmx?WSDL

image.png

image.png

[Scheduler]任务计划  

创建扫描

image.png

image.png

image.png

导出结果

[Reporter]扫描报告

进入报告模块

image.png

定制报告格式

image.png

image.png

生成默认报告

image.png

[Configuration] 配置

相关文章
|
2月前
|
SQL 安全 测试技术
Burpsuite Scanner主动扫描生成安全评估报告
Burpsuite Scanner主动扫描生成安全评估报告
|
2月前
|
数据采集 安全 测试技术
Burpsuite Scanner被动扫描生成安全评估报告
Burpsuite Scanner被动扫描生成安全评估报告
|
7月前
|
自然语言处理 安全 网络安全
22LLMSecEval数据集及其在评估大模型代码安全中的应用:GPT3和Codex根据LLMSecEval的提示生成代码和代码补全,CodeQL进行安全评估【网安AIGC专题11.22】
22LLMSecEval数据集及其在评估大模型代码安全中的应用:GPT3和Codex根据LLMSecEval的提示生成代码和代码补全,CodeQL进行安全评估【网安AIGC专题11.22】
210 0
|
安全 数据安全/隐私保护
政府安全资讯精选 2017年第十三期 网信办发布《互联网新闻信息服务新技术新应用安全评估管理规定》;Facebook颁布新广告政策,加强内容安全
网信办发布《互联网新闻信息服务新技术新应用安全评估管理规定》;Facebook颁布新广告政策,加强内容安全;英国新《数据保护法案》允许遭黑客攻击者索要“精神赔偿”;存有英国女王行程相关信息的U 盘遗失,数据未做任何加密
1813 0
|
Web App开发 安全 数据安全/隐私保护
WEB应用安全评估标准- OWASP ASVS的整理介绍
今天完善了ASVS的PPT。整理成WORD了。 WEB应用安全评估标准- OWASP  ASVS  (Application Security Verification Standard) 一、什么是ASVS uThe OWASP Appl...
2721 0
|
SQL 安全 数据挖掘
Acunetix 12-Web漏洞扫描初体验
Acunetix 12-Web漏洞扫描初体验
Acunetix 12-Web漏洞扫描初体验
|
4月前
|
SQL 安全 中间件
AppScan安全扫描工具之安装及配置GlassBox
IBM AppScan是一个自动化Web应用安全漏洞评估工具,通过安装和配置GlassBox可以检测更多Web程序的安全漏洞。
60 0
AppScan安全扫描工具之安装及配置GlassBox
|
7月前
爆破、批量PoC扫描工具 -- POC-T
爆破、批量PoC扫描工具 -- POC-T
45 0

热门文章

最新文章