使用AWVS进行漏洞扫描
【实训目的】
1.认识并安装AWVS漏洞扫描器;
2.掌握AWVS漏洞扫描器的使用方法,利用其对目标系统进行扫描。
【实训原理】
AWVS(AcunetixWEBVulnerabilityScanner,有时也简称为WVS)是专门
针对WEB系统的扫描工具,类似的系统还有AppScan、BurpSuite等,采用其对
我们前期安装的DWVS系统进行扫描。
AWVS主要功能以及特点如下:
a)自动的客户端脚本分析器,允许对Ajax和Web2.0应用程序进行安全
性测试。
b)业内最先进且深入的SQL注入和跨站脚本测试
c)高级渗透测试工具,例如HTTPEditor和HTTPFuzzer
d)可视化宏记录器帮助您轻松测试web表格和受密码保护的区域
e)支持含有CAPTHCA的页面,单个开始指令和TwoFactor(双因素)验
证机制
f)丰富的报告功能,包括VISAPCI合规性报告
h)高速的多线程扫描器轻松检索成千上万个页面
i)智能爬行程序检测web服务器类型和应用程序语言
j)端口扫描web服务器并对在服务器上运行的网络服务执行安全检查。
【实训步骤】
步骤一、下载AWVS
自官方网站/product/standard/,可下载试用安装包,
下载试用安装包时,需要输入工作邮箱地址。
步骤二、安装AWVS
双击安装包就开始系统安装,按照系统提示一步步进行安装即可。在安装过
程中,会提示你创建管理用户帐号,这个管理员帐号是供你登录AWVS系统使
用,如下图所示:
图2-14AWVS管理员配置示意图
AWVS自11版本开始采用B/S架构,默认端口号为3443,在安装过程中也
可修改,如下图所示:
图2-15AWVS系统访问端口配置
安装完成之后,还需要激活才能使用,按照要求激活即可。
步骤三、使用AWVS对目标系统扫描
(1)登录AWVS。在桌面点击系统快捷方式或在浏览器URL输入:
https://ipaddress:3443,都可以进入登录界面。
图2-16AWVS系统登录界面
输入在安装过程中建立的用户账号和密码即可登录。如下图所示:
图2-17AWVS系统工作界面
左侧是导航栏,右侧是导航栏对应的内容。
(2)添加扫描目标。
点击左侧的targets,然后再点击AddTarget,就会出现如下添加目标网站的
界面。
图2-18AWVS系统添加扫描目标
在该界面输入要进行测试的目标网站,此处我们添加的是本地的DVWA系
统,填完之后点击AddTarget,即可完成添加扫描目标。
有时候,网站需要登录,如DVWA系统,此时,就需要打开SiteLogin选
项,如下图所示:
图2-19AWVS系统目标登录设置
其中有trytoauto-loginintothesite和Usepre-recordedloginsequence两个选
项。在trytoauto-loginintothesite中,可直接输入登录网站所需的账户名和密
码,然后AWVS用自动探测技术进行识别,不需要手工录入登录过程。如下图
所示:
图2-20AWVS系统trytoauto-loginintothesite方式登录设置
在Usepre-recordedloginsequence中,需要先点击LaunchLoginSequence
Recorder录制登录视频,然后保存为文件,再在LoginSequence处打开