Awvs的使用

一些漏洞：sql注入，xss，文件包含，目录遍历，参数篡改，认证攻击即使你有一些防火墙以及waf，那些黑客同样可以绕过这个时候安全人员就需要一些安全检测工具，找出来漏洞，修补是最好的办法下面介绍awvsacunetix web vulnerability scanner一款自动化的web应用安全测试工具，审计检查漏洞，如sql注入，xss等


介绍


file，保存文件的地方扫描的tool，所有的配置，证书啊，http认证，代理的配置，自定的cookie等扫描配置与左侧的一样configurations scan profile 是一些脚本 help帮助，检查是否更新等，以及awvs版本的信息
左侧的工具栏


awvs扫描网站第一部，点击左上角的New Scan，弹出来下面的窗口，输入我们要扫描的ip地址或者url下面的，如果你曾经爬行过，我们可以把爬行的结果放进去


点击Next，选择默认方式即可，第一个框，里面是让我们选择扫描什么样类型的漏洞模块，第二个框是让我们对扫描做一些配置，一般我们扫描的时候都配置完全啦。


点击next ，这个时候系统就会识别我们所要扫描的网站的一些信息web服务器的版本，服务器上运行的操作系统，以及我们要扫描的url，有的时候可能识别不是很全，但没有关系，我们也可以通过站长工具获取它的信息。


点击Next，这个时候我们看到的窗口时登陆认证窗口，第一个框，我们点击进入弹出窗口登陆，我们点击录像，让爬虫记录下载我们登陆后留下的痕迹，进行爬行扫描，这样爬的更加全面。

点击Next，我们点击finish就可以完成了。


等待一点时间，当扫描结束的时候，我们就可以看到下面的页面


这个时候我们可以生成报告，点击Report，我们可以预览一下我们要生成的报告


点击如图所示的左上角，点击，我们可以我们想让报告生成什么样的格式，保存一下，报告生成完成


从网站的扫描到报告的生成，这里就结束啦！！！
下面是一些杂记
tool---Scan Settings
LAN seting代理deeoscan深度扫描cookie，要是有的话可以加进去，进一步最下面是爬虫的设置，打勾，可以自行选择文件进行扫描可以定于多个url自行导入，扫描自动识别server banner web服务器的版本操作系统目标服务器的版本以及所用的技术php等表格认证，没登陆可能扫描不全，爬虫爬不到，应该登陆录像

扫描结果分析
挑选有用的内容，右上方，威胁等级3高显示出来漏洞的个数目标信息是否能响应扫描统计

中间扫描的结果信息包括：端口，基础知识，目录树forbidden403，存在，被拒绝200，存在，访问成功
tool----scan settings---scan setting----Crawling Options


第一项弹出一个窗口，手动查找，爬行第二项首页爬行，给首页有关的链接，第三项，不抓取上级目录第四个，扫描子目录第五个，尝试抓取其他链接第六个，处理robots.txt 和sitemap.xml告诉爬虫，不要爬行这些界面第七项，是否忽略路径中的大小写工具栏的介绍


target finder 目标查找Subdomain Scanner 二级域名的查找信息收集的两个功能输入iprange地址192.168.12.0/24扫描这个ip段的信息可能看到存活的信息，以及什么网站，hostname主机名，还有版本号
二级域名查找是www.baidu.comwww.tieba.baidu.com查找的与此类似
认证测试输入要爆的地址表单，web 选择框一和框2以及错误关键字resulit no下面还有用户名和密码的爆破字典

来自为知笔记(Wiz)