AWVS10.5&12超详细使用教程

AWVS10.5&12超详细使用教程AWVS介绍awvs

大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全家桶1年46,售后保障稳定

AWVS介绍

awvs全称Acunetix Web Vulnerability Scanner,主要用于扫描web应用程序上的安全问题,如SQL注入,XSS,目录遍历,文件包含,参数篡改,认证攻击,命令注入等,是一款网络漏洞扫描工具。这里的教程分为新旧两版,两种版本各有优势。
旧版:移动的工具包
新版:方便快捷

AWVS10.5

扫描向导

1.下面的图是其主界面
主界面
2.新建栏,从上倒下依次是新建扫描,新建爬行,新建服务扫描,新建报告(基本英文),file栏,从上到下依次是新建,导入以前的扫描,保存扫描记录(我是不是有点啰嗦)
在这里插入图片描述
3.配置,点开configuration是一些配置,应用配置,扫描配置等等(挺齐全的)scanning profiles中的是一些扫描模块脚本,用来判断漏洞
在这里插入图片描述
4.扫描向导(新建scan会弹出),第一个框是扫描的地址,第二个框大意是之前如果爬过的话可以把爬行记录导入
在这里插入图片描述
5.扫描配置,第一个框是漏洞类型,一般默认全部,第二个框是扫描设置,一般也是默认,当然,也可以自己定义,点击scan settings后面的那个按钮进行设置,第三个框是爬虫,可以自主选择扫描哪些文件,也可以扫描多个链接(用txt导入)

在这里插入图片描述
6.扫描设置(感兴趣的可以看看,不感兴趣的直接跳过看这一部分内容)

  • 收集信息的话需要勾选Enable port scanning,让他进行端口扫描
    在这里插入图片描述
  • GHDB,扫描一些敏感文件,全选就可以
    在这里插入图片描述
  • 爬虫设置,全是英文(对我这种英语不好的人来说,翻译必不可少),感兴趣的可以去查查都是啥意思
    在这里插入图片描述
  • 这是爬虫的文件过滤,*是全选的意思,exclude是直接跳过这些后缀的文件
    在这里插入图片描述
  • 目录和文件的过滤器,正则表达式形式。

在这里插入图片描述

  • 代理的设置
    在这里插入图片描述
  • 深度扫描,开启就行
    在这里插入图片描述
  • cookie的设置,如果有这个网站的一些cookie值,可以加进去
    在这里插入图片描述
  • 端口的扫描,可以设置哪些端口不扫描
    在这里插入图片描述
    7.自动识别一些信息
    在这里插入图片描述
    8.登录,如果不登录爬虫是爬不到一些具体内容的,这个功能类似于一个录像,把你登录的过程和注销的过程录下来,按照录像进行深层次的爬行(就是在awvs中在登录一次,很简单)
    在这里插入图片描述
    9.第一个框是传感器,后面有具体讲解,第二个是爬到的链接,如果要扫描其中某一个就勾选,第三个框是保存,把这次的扫描进行保存,留着以后用
    在这里插入图片描述
    10.开始扫描
    在这里插入图片描述

报告分析(他扫的是真的慢啊)

1.安全等级和漏洞危险级数
在这里插入图片描述
2.下一栏是目标信息,如能否响应,web服务器版本,操作系统等等
在这里插入图片描述
3.扫描时间,发出请求,响应时间
在这里插入图片描述
4.扫出的结果,web方面的漏洞
在这里插入图片描述
5.我们点进去看看,可以看到具体内容,看描述:此安全(https)页包含一个正在发布到不安全(http)页的表单。他们可能认为自己的数据是加密的,而事实上它不是。像失效链接这种东西就可能有用。site struction是扫描到的目录。
在这里插入图片描述
6.点击页面中report生成报告,点击红色部分导出
在这里插入图片描述

各种功能

Site Crawler (根据自己需要设置)

在这里插入图片描述
第一项:在扫描介绍的时候开启http sniffer是为了让用户手动浏览,防止爬虫没有爬到,当扫描快结束的时候会将没有爬到的弹出来
第二项:只爬行网站首页的链接(所有)
第三项:不抓上级目录
第四项:抓子目录
第五项:即使未连接也获取目录索引
第六项:处理robots.txt和sitemap.xml
第七项:忽略大小写
第八项:优先爬取这类文件
第九项:防止无限递归目录,如admin/admin/admin…
第10项:只请求链接的文件
第11项:忽略相应的文件格式
第12项:防止自定义404
第13项:有无www视为一个
第14项:启用输入限制探索法
第15项:禁止已知应用的路径操作
第16项:优化已知应用

HTTP Editor

右击打开,得到请求头,请求数据,结构分析之类的东西(可以修改)
在这里插入图片描述
在这里插入图片描述
可进行加密解密,选择协议,请求方式等等
在这里插入图片描述

Target Finder (目标查找)

扫描单个或范围内的ip,也可以得到请求头请求数据
在这里插入图片描述

Subodmain Scanner(子域名扫描)

输入的是根域名,没有 www的那种,同时可以选择DNS和时间,会扫描到类似xxxx.acunetix.com的域名
在这里插入图片描述

Authentication Tester(认证测试)

在这里插入图片描述
从上到下分别是认证地址,表单和http,错误关键字,用户名和密码的字典
在这里插入图片描述
他会自动检测输入框,然后分别与用户名和密码对应,设置关键字,start就行了。

HTTP Sniffer

跟brupsuite功能类似,抓包改包,设置好代理后就可以了
在这里插入图片描述
这里可以设置各种陷阱,类似于改包
在这里插入图片描述
设置陷阱后他会自动弹出,所有东西都是可以修改的

HTTP Fuzzer

这个功能跟brupsuite爆破功能类似。
抓包后复制粘贴到这个栏目,然后可以设置fuzzer过滤器,如规则的描述,规则的类型等等(有些webshell有跳转,响应码是302)
在这里插入图片描述
插入测试点,添加变量类型,如数字类型,字符类型,文件类型等等,载入字典就选文件类型。
在这里插入图片描述
在这里可以载入字典,txt格式
在这里插入图片描述

AWVS12

面板

在这里插入图片描述
新版的AWVS没有了许多工具,但是速度快了很多,最方便的就是在网页上,不会的英文可以直接翻译

过程

1.点击Targets,add Target进行添加网址,可以批量导入
在这里插入图片描述
2.可以填入账号密码,方便通过验证(也可以像旧版一样产生一个记录文件),同时可以加入不扫描的站点(如注销)
在这里插入图片描述
3.爬虫的相应设置

在这里插入图片描述
4.可以设置扫描速度,漏洞的危险程度,添加描述,设置连续扫描等等
在这里插入图片描述
5.点击scan,根据你想要的进行设置
在这里插入图片描述
6.新版的比旧版的简单很多,因为有翻译的存在,这个栏目可以查看漏洞,筛选漏洞,生成报告,查看漏洞详情
在这里插入图片描述
7.设置扫描策略,都选就行
在这里插入图片描述
只能说各有各的长处了

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:http://www.javaforall.cn/234757.html原文链接:http://www.javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)
blank

相关推荐

  • k8s pod Evicted状态问题解决

    k8s pod Evicted状态问题解决kubectlgetpo-nkube-system-owide#查看pod运行状态信息可以看到有两个状态为驱赶,一般是磁盘空间不足了,清理slave磁盘空间后,状态正常

  • ajax parsererror报错,jQuery为ajax请求返回“ parsererror”[通俗易懂]

    ajax parsererror报错,jQuery为ajax请求返回“ parsererror”[通俗易懂]我一直在从jquery收到针对Ajax请求的“parsererror”,我尝试将POST更改为GET,以几种不同的方式(创建类等)返回数据,但我似乎无法弄清楚问题出在哪里。我的项目在MVC3中,我使用的是jQuery1.5,我有一个Dropdown,并且在onchange事件上,我触发了一个调用,以根据所选内容获取一些数据。下拉列表:(这会从Viewbag的列表中加载“Views”,并触发事…

  • Android内核开发 adb查看Linux kernel版本号

    Android内核开发 adb查看Linux kernel版本号Android内核基于Linuxkernel,需要知道Android系统的Linuxkernel版本号,才能对其内核进行编译移植

  • 手把手教你 | 识别色环电阻/贴片电阻阻值「建议收藏」

    手把手教你 | 识别色环电阻/贴片电阻阻值「建议收藏」电阻元件的电阻值大小一般与温度,材料,长度,还有横截面积有关,通常贴片电阻电阻表面都标识数字,色环电阻多采用色标法标记阻值。本期视频就跟安迪一起学习如何计算电阻阻值吧~手把手教你|识别色环电阻/贴片电阻阻值…

  • 数据结构:栈和队列(Stack & Queue)【详解】

    数据结构:栈和队列(Stack & Queue)【详解】栈和队列知识框架栈一、栈的基本概念1、栈的定义栈(Stack):是只允许在一端进行插入或删除的线性表。首先栈是一种线性表,但限定这种线性表只能在某一端进行插入和删除操作。栈顶(Top):线性表允许进行插入删除的那一端。栈底(Bottom):固定的,不允许进行插入和删除的另一端。空栈:不含任何元素的空表。栈又称为先进先出(LastInFirstOut)的线性表,简称LIFO结构2、栈的基本操作InitStack(&S):初始化一个空栈S。StackEmpty(S):

  • Java中System.setProperty()用法

    Java中System.setProperty()用法/* *设置指定键对值的系统属性 *setProperty(Stringprop,Stringvalue); *  *参数: *prop-系统属性的名称。 *value-系统属性的值。   *  *返回: *系统属性以前的值,如果没有以前的值,则返回null。 *  *抛出:   *SecurityExceptio

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号