awvs扫描器原理_条形码扫描器现在无法使用

awvs扫描器原理_条形码扫描器现在无法使用AWVSAWVS(WebVulnerabilityScanner)是一个自动化的Web应用程序安全测试工具,它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序。适用于任何中小型和大型企业的内联网、外延网和面向客户、雇员、厂商和其它人员的Web网站。WVS可以通过检查SQL注入攻击漏洞、XSS跨站脚本攻击漏洞等漏洞来审核Web应用程序的安全性。AWVS功能介绍WebScanner:核心功能,web安全漏洞扫描(深度,宽度,限制20个)Site

大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE使用 1年只要46元 售后保障 童叟无欺

写在前面:

其中有的照片重复,只要看其中一张就行

AWVS
AWVS(Web Vulnerability Scanner)是一个自动化的Web应用程序安全测试工具,它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序。适用于任何中小型和大型企业的内联网、外延网和面向客户、雇员、厂商和其它人员的Web网站。WVS可以通过检查SQL注入攻击漏洞、XSS跨站脚本攻击漏洞等漏洞来审核Web应用程序的安全性。
AWVS功能介绍
WebScanner :核心功能,web安全漏洞扫描 (深度,宽度 ,限制20个)
Site Crawler:站点爬行,遍历站点目录结构
Target Finder :主机发现,找出给定网段中开启了80和443端口的主机
Subdomian Scanner :子域名扫描器,利用DNS查询
Blind SQL Injector :盲注工具
Http Editor http:协议数据包编辑器
HTTP Sniffer : HTTP协议嗅探器 (fiddler,wireshark,bp)
HTTP Fuzzer: 模糊测试工具 (bp)
Authentication Tester :Web认证激活成功教程工具
基础知识:
白盒测试:结构测试,透明盒测试,在知道代码的情况下进行渗透,相当于代码审计
黑盒测试:在测试中,把程序看做一个不能打开的黑盒子,在完全不考虑程序内部结构和内部特性的情况中,在程序接口进行测试扫描,什么都不知道
灰盒测试:介于白盒测试与黑盒测试之间的一种测试,在服务端设置代理agent 从客户端入手 (有权限去访问)
AWVS如何工作
它会扫描整个网络,通过跟踪站点上的所有链接和robots.txt(如果有的话)而实现扫描。 然后AWVS就会映射出站点的结构并显示每个文件的细节信息。
在上述的发现阶段或者扫描过程之后,WVS就会自动地对所发现的每一个页面发动一系列的漏洞攻击,这实质上是模拟一个黑客的攻击过程。(自定义的脚本,去探测是否有漏洞) AWVS分析每一个页面中需要输入数据的地方,进而尝试所有的输入组合。这是一个自动扫描阶段
在它发现漏洞之后,WVS就会在“Alerts Node(警告节点)”中报告这些漏洞,每一个警告都包含着漏洞信息和如何修补漏洞的建议。
在一次扫描完成之后,它会将结果保存为文件以备日后分析以及与以前的扫描相比较,使用报告工具,就可以创建一个专业的报告来总结这次扫描。
审核漏洞
版本检查:包括易受攻击的Web服务器,易受攻击的Web服务器技术
CGI测试:包括检查Web服务器问题,主要是决定在服务器上是否启用了危险的HTTP方法。例如put 、trace,delete等等
参数操纵:主要包括跨站脚本攻击(XSS),SQL注入攻击,代码执行,目录遍历攻击,文件入侵,脚本源代码泄露,CRLF注入,PHP代码注入,XPath注入,LDAP注入,Cookie操纵,URL重定向,应用程序错误消息等。
多请求参数操纵:主要是Blind SQL/XPath注入攻击
文件检查:检查备份文件或目录,查找常见的文件(如日志文件,应用程序踪迹等),以及URL中的跨站脚本攻击,还要检查脚本错误等
Web应用程序:检查特定Web应用程序的已知漏洞的大型数据库,例如论坛,Web入口,CMS系统,电子商务应用程序和PHP库等
GHDB Google攻击数据库,可以检查数据库中1400多条GHDB搜索项目。
Web服务:主要是参数处理,其中包括SQL注入、Blind SOL注入(盲注),代码执行,XPath注入,应用程序错误消息等。
使用该软件的所提供的手动工具,还可以执行其他的漏洞测试,包括输入合法检查,验证攻击,缓冲区溢出等。
AWVS11页面介绍
AWVS从版本11开始,变成了网页端打开的形式,使用一个自定义的端口进行连接。

在页面的最左边,有6个按钮,分别是Dashboard、Targets、Vulnerabilities、Scans、Reports和settings

awvs扫描器原理_条形码扫描器现在无法使用
awvs扫描器原理_条形码扫描器现在无法使用

Dashboard是仪表盘,你扫描过的网站的一些漏洞信息这里会显示
Targets是目标网站,就是你要扫描的目标网站
Vulnerabilities就是漏洞,网站的漏洞
Scans就是扫描目标站点,从Target里面选择目标站点进行扫描
Reports就是漏洞扫描完之后的报告
Settings就是软件的一些设置,包括软件更新,代理设置等等
AWVS11中建立扫描

点击Targets–>Add Target,然后会弹出这个页面,Address就填我们要扫描的网站域名,Description就填写这次扫描的描述信息,可随便填,然后点击Add Target即可

awvs扫描器原理_条形码扫描器现在无法使用
awvs扫描器原理_条形码扫描器现在无法使用

然后进入了下面这个页面,Scan Speed可以选择扫描的速度,速度越慢扫描的也越仔细。如果站点是需要登录的网站,这里就要勾选上Site Login,如果站点不需要登录的话,这里就不用勾选。这底下还有一个AcuSensor,总的来说就是允许扫描仪从PHP、ASP或JSP应用程序中收集更多信息,从而改进扫描结果并使其可靠性更高。

awvs扫描器原理_条形码扫描器现在无法使用
awvs扫描器原理_条形码扫描器现在无法使用

Site Login这里给了我们两个选择,一个是输入用户名和密码。另外一个是使用先前配置好的登录信息

awvs扫描器原理_条形码扫描器现在无法使用
awvs扫描器原理_条形码扫描器现在无法使用

这里是针对不同Web站点的扫描插件

awvs扫描器原理_条形码扫描器现在无法使用
awvs扫描器原理_条形码扫描器现在无法使用

这里还有Crawl、HTTP、Advanced一些功能,我们现在还不必去选。我们就直接点击Scan开始吧。

awvs扫描器原理_条形码扫描器现在无法使用
awvs扫描器原理_条形码扫描器现在无法使用

然后弹出下面的页面,如果想修改的可以自己修改,修改完后直接点击Create Scan开始扫描

awvs扫描器原理_条形码扫描器现在无法使用
awvs扫描器原理_条形码扫描器现在无法使用

AWVS10.5中的介绍
10.5的版本是客户端版本的,还留有很多其他的功能。但是我们最常用的还是站点扫描,在进行站点扫描中我们需要注意的一点就是,下面这里勾选上。将这里勾选上的话,在扫描的过程中会弹出网站的页面。有些网站需要登录,我们就可以输入登录了。还有就是可以多点点网站的页面,并且在有输入框的地方随便输入。软件会记录这些网页,可以帮助扫描更准确。

awvs扫描器原理_条形码扫描器现在无法使用
awvs扫描器原理_条形码扫描器现在无法使用

AWVS11版本启动失败
需要注意的是,因为自从AWVS11开始,AWVS就变成了B/S架构,所以我们有时候在访问AWVS的时候,需要开启AWVS的服务,否则会报错!
AWVS: A connection to server could not be established.[Status:-1]
然后我们开启如下服务即可!

awvs扫描器原理_条形码扫描器现在无法使用
awvs扫描器原理_条形码扫描器现在无法使用

我们也可以使用脚本来控制启动和关闭AWVS服务
@echo off
mode con lines=30 cols=60
cls
echo.———————————————————–
echo.请选择使用:
echo.
echo. 1.启动Awvs 11(输入1)
echo.
echo. 2.停止Awvs 11(输入2)
echo.———————————————————–

if exist “%SystemRoot%\System32\choice.exe” goto Win7Choice
set /p choice=请输入数字并按回车键确认:
echo.
if %choice%==1 goto StartAwvs
if %choice%==2 goto StopAwvs
cls
“set choice=”
echo 您输入有误,请重新选择。
goto main

:Win7Choice
choice /c 12 /n /m “请输入相应数字:”
if errorlevel 2 goto StopAwvs
if errorlevel 1 goto StartAwvs
cls
goto main

:StartAwvs
cls
color 2f
net start Acunetix
net start “Acunetix Database”
echo.———————————————————–
echo.
echo 成功启动 “Acunetix”,”Acunetix Database” 服务!
echo.
goto end

:StopAwvs
cls
color 2f
net stop Acunetix
net stop “Acunetix Database”
echo.———————————————————–
echo.
echo 成功关闭 “Acunetix”,”Acunetix Database” 服务!
echo.
goto end

:end
echo 请按任意键退出。
@Pause>nul

awvs扫描器原理_条形码扫描器现在无法使用
awvs扫描器原理_条形码扫描器现在无法使用

利用Burpsuite修改AWVS的数据包标识
在用AWVS扫描的时候,有时候网站有WAF,AWVS就扫不出来任何东西了或者直接就死掉了。因为WAF的规则中有能识别AWVS的标识。所以我们就需要对AWVS的发送的数据包的标识去除。这个我们可以用Burpsuite来做。
在AWVS设置代理: Configuration->Scan Setting->LAN Settings

awvs扫描器原理_条形码扫描器现在无法使用
awvs扫描器原理_条形码扫描器现在无法使用

然后我们用BurpSuite随便爬去一个网站,就可以在Burpsuite中抓到该数据包了。

awvs扫描器原理_条形码扫描器现在无法使用
awvs扫描器原理_条形码扫描器现在无法使用

通过分析数据包发现特征字段:
Acunetix-Aspect: enabled
Acunetix-Aspect-Password: 082119f75623eb7abd7bf357698ff66c
Acunetix-Aspect-Queries: filelist;aspectalerts
接下里可利用burpsuite正则的功能在每一次发包时都将特征字典替换为空

awvs扫描器原理_条形码扫描器现在无法使用
awvs扫描器原理_条形码扫描器现在无法使用

替换完成后将Intercept置为off开启自动代理模式.

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/190771.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • JRE配置完整 tomcat闪退问题

    JRE配置完整 tomcat闪退问题如果你的JRE环境配置没有问题的话很有可能是你的Tomcat版本和jdk版本不相容导致的闪退 以我的电脑为例,我安装的是:当我解压安装Tomcat70.73的时候就出现了闪退的问题而当我下载最新的Tomcat9.0.13后就直接可以了至于闪退而不知道具体的问题的时候可以修改start.bat文件中的最后一行:“call"%EXECUTABLE%"start%CMD…

  • checkstyle使用_idea checkstyle

    checkstyle使用_idea checkstyleCheckstyle是一款检查java程序代码样式的工具,可以有效的帮助我们检视代码以便更好的遵循代码编写标准,特别适用于小组开发时彼此间的样式规范和统一。Checkstyle提供了高可配置性,以便适

  • tikv源码分析_crt脚本命令大全

    tikv源码分析_crt脚本命令大全版权声明:本文由神州数码云基地团队整理撰写,若转载请注明出处。以TiKvConfigstruct为起始点,从TiKvConfig内部的字段开始,分析每个模块的作用和配置检查逻辑所做的事情。TiKV是一个分布式事务型的键值数据库,是TiDB的存储层,提供了满足ACID约束的分布式事务接口,并且通过Raft协议保证了多副本数据一致性以及高可用。关于TiDB、TiKV的详细介绍可以从官网查阅,这里就不多赘述了。知乎上已经有一篇高屋建瓴的文章,由TiKV亲爹Ed写的TiKV代码初探,可以从整

  • Python 学生信息管理系统——文章中源码100%真实有效—–如何将类、初始化属性、模块、循环判断、静态方法等一系列知识点结合起来做一个项目「建议收藏」

    Python 学生信息管理系统——文章中源码100%真实有效—–如何将类、初始化属性、模块、循环判断、静态方法等一系列知识点结合起来做一个项目「建议收藏」这篇博客主要就是把学生管理系统进行源码分享,这段源码很好的将前面所学的全部串在一起。就我个人而言真的是非常有价值。就算你python前面的基础不好,学完这个系统你会有重获新生的感觉。本文适合需要用python完成课程大作业、python爱好者、python路上的学习者、初学python者、需要将python知识点串在一起的人、上进的人。manageSystem.py#TODO鸟欲高飞,必先展翅#TODO向前的人:Jhon

  • Oracle备份的几种方式【转】[通俗易懂]

    Oracle备份的几种方式【转】[通俗易懂]这里使用Oracle12C来大概演示说明一下rman的基本用法,这里不会深入讨论,因为本人也只是刚刚才接触,只是结合了网上的一些文章以及自己的实践来总结并拿出来大家学习,谢谢目录一、关于备份与恢

  • jquery $.post

    jquery $.post

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号