第二輪學習筆記：漏洞工具 -- AWVS

小時候一直不理解，父母爲何能夠那麼早起牀，長大後才明白，叫醒他們的不是鬧鐘，而是生活和責任，哪有什麼歲月靜好，只不過有人在替你負重前行。。。

----  網易雲熱評

 

awvs是一款web漏洞掃描工具，經過網絡爬蟲測試網站安全，監測流行的web應用***，如跨站腳本，sql注入等

 

1、主要功能模塊

一、webscanner：整站掃描

二、site crawler：網站爬蟲

三、target finder：制定端口、網段掃描

四、subdomain scanner：子域名掃描器

五、blind sql injector:盲注工具

六、http editor：http信息編輯器

七、http fuzzer：http模糊測試

八、http sniffer：http監聽嗅探

九、authentication tester：web認證測試

十、web services scanner：網站服務掃描

十一、web services editor：網站服務手動分析

十二、application settings：應用程序的設置

1三、sacn settings：掃描設置

1四、sacnning profils：配置所用掃描腳本

 

2、新建掃描

一、點擊New Scan，輸入要掃描的ip

 

二、選擇要掃描的漏洞，也能夠選擇默認Default，點擊next

 

三、自動識別出網站的部分信息，點擊next

 

四、假如網站有登錄頁面，選擇下面的，輸入帳號和密碼，點擊next

 

五、點擊finish，開始掃描

 

2、配置軟件

一、修改掃描的速度，快、中、慢

 

 

二、GHDB， Google hacking數據庫檢測，下面的語法是對網站的信息搜索的google語法。

 

三、設置代理

 

3、誤報處理

一、找到誤報的信息右擊，選擇mark alert.....

二、誤報的信息會移動到下面

 

4、保存掃描的結果

一、點擊report

二、彈出一個對話框，選擇要保存的格式

 

5、網站爬蟲，輸入掃描地址，點擊start

 

6、目標發現，輸入掃描的範圍和要掃描開放的端口，點擊start

 

 

 

7、子域名查詢，掃描出來的結果，能夠右擊，掃描該服務器是否存在漏洞

 

 

8、請求重放，掃描到存在漏洞的語句，右擊，選擇edit with http editor,而後就能夠修改相關數據，進一步測試

 

 

9、去掉awvs的標識

一、打開burpsuit，設置過濾awvs的請求頭Acunetix-Aspect: enabled

二、設置awvs的代理

這樣掃描的時候就不會在http請求頭中出現Acunetix-Aspect: enabled相關的內容了。

 

禁止非法，後果自負

歡迎關注公衆號：web安全工具庫