AWVS介绍

awvs全称Acunetix Web Vulnerability Scanner，主要用于扫描web应用程序上的安全问题，如SQL注入，XSS，目录遍历，文件包含，参数篡改，认证攻击，命令注入等，是一款网络漏洞扫描工具。这里的教程分为新旧两版，两种版本各有优势。
旧版：移动的工具包
新版：方便快捷

AWVS10.5

扫描向导

1.下面的图是其主界面

2.新建栏，从上倒下依次是新建扫描，新建爬行，新建服务扫描，新建报告（基本英文），file栏，从上到下依次是新建，导入以前的扫描，保存扫描记录（我是不是有点啰嗦）

3.配置，点开configuration是一些配置，应用配置，扫描配置等等（挺齐全的）scanning profiles中的是一些扫描模块脚本，用来判断漏洞

4.扫描向导（新建scan会弹出），第一个框是扫描的地址，第二个框大意是之前如果爬过的话可以把爬行记录导入

5.扫描配置，第一个框是漏洞类型，一般默认全部，第二个框是扫描设置，一般也是默认，当然，也可以自己定义，点击scan settings后面的那个按钮进行设置，第三个框是爬虫，可以自主选择扫描哪些文件，也可以扫描多个链接（用txt导入）

6.扫描设置（感兴趣的可以看看，不感兴趣的直接跳过看这一部分内容）

收集信息的话需要勾选Enable port scanning，让他进行端口扫描
GHDB，扫描一些敏感文件，全选就可以
爬虫设置，全是英文（对我这种英语不好的人来说，翻译必不可少），感兴趣的可以去查查都是啥意思
这是爬虫的文件过滤，*是全选的意思，exclude是直接跳过这些后缀的文件
目录和文件的过滤器，正则表达式形式。

代理的设置
深度扫描，开启就行
cookie的设置，如果有这个网站的一些cookie值，可以加进去
端口的扫描，可以设置哪些端口不扫描

7.自动识别一些信息

8.登录，如果不登录爬虫是爬不到一些具体内容的，这个功能类似于一个录像，把你登录的过程和注销的过程录下来，按照录像进行深层次的爬行（就是在awvs中在登录一次，很简单）

9.第一个框是传感器，后面有具体讲解，第二个是爬到的链接，如果要扫描其中某一个就勾选，第三个框是保存，把这次的扫描进行保存，留着以后用

10.开始扫描

报告分析（他扫的是真的慢啊）

1.安全等级和漏洞危险级数

2.下一栏是目标信息，如能否响应，web服务器版本，操作系统等等

3.扫描时间，发出请求，响应时间

4.扫出的结果，web方面的漏洞

5.我们点进去看看，可以看到具体内容，看描述：此安全（https）页包含一个正在发布到不安全（http）页的表单。他们可能认为自己的数据是加密的，而事实上它不是。像失效链接这种东西就可能有用。site struction是扫描到的目录。

6.点击页面中report生成报告，点击红色部分导出