Awvs的使用
2015-10-26 20:08
253 查看
一些漏洞:sql注入,xss,文件包含,目录遍历,参数篡改,认证攻击即使你有一些防火墙以及waf,那些黑客同样可以绕过这个时候安全人员就需要一些安全检测工具,找出来漏洞,修补是最好的办法下面介绍awvsacunetix web vulnerability scanner一款自动化的web应用安全测试工具,审计检查漏洞,如sql注入,xss等
介绍
file,保存文件的地方扫描的tool,所有的配置,证书啊,http认证,代理的配置,自定的cookie等扫描配置与左侧的一样configurations scan profile 是一些脚本 help帮助,检查是否更新等,以及awvs版本的信息
左侧的工具栏
awvs扫描网站第一部,点击左上角的New Scan,弹出来下面的窗口,输入我们要扫描的ip地址或者url下面的,如果你曾经爬行过,我们可以把爬行的结果放进去
点击Next,选择默认方式即可,第一个框,里面是让我们选择扫描什么样类型的漏洞模块,第二个框是让我们对扫描做一些配置,一般我们扫描的时候都配置完全啦。
点击next ,这个时候系统就会识别我们所要扫描的网站的一些信息web服务器的版本,服务器上运行的操作系统,以及我们要扫描的url,有的时候可能识别不是很全,但没有关系,我们也可以通过站长工具获取它的信息。
点击Next,这个时候我们看到的窗口时登陆认证窗口,第一个框,我们点击进入弹出窗口登陆,我们点击录像,让爬虫记录下载我们登陆后留下的痕迹,进行爬行扫描,这样爬的更加全面。
点击Next,我们点击finish就可以完成了。
等待一点时间,当扫描结束的时候,我们就可以看到下面的页面
这个时候我们可以生成报告,点击Report,我们可以预览一下我们要生成的报告
点击如图所示的左上角,点击,我们可以我们想让报告生成什么样的格式,保存一下,报告生成完成
从网站的扫描到报告的生成,这里就结束啦!!!
下面是一些杂记
tool---Scan Settings
LAN seting代理deeoscan深度扫描cookie,要是有的话可以加进去,进一步最下面是爬虫的设置,打勾,可以自行选择文件进行扫描可以定于多个url自行导入,扫描自动识别server banner web服务器的版本操作系统目标服务器的版本以及所用的技术php等表格认证,没登陆可能扫描不全,爬虫爬不到,应该登陆录像
扫描结果分析
挑选有用的内容,右上方,威胁等级3高显示出来漏洞的个数目标信息是否能响应扫描统计
中间扫描的结果信息包括:端口,基础知识,目录树forbidden403,存在,被拒绝200,存在,访问成功
tool----scan settings---scan setting----Crawling Options
第一项弹出一个窗口,手动查找,爬行第二项首页爬行,给首页有关的链接,第三项,不抓取上级目录第四个,扫描子目录第五个,尝试抓取其他链接第六个,处理robots.txt 和sitemap.xml告诉爬虫,不要爬行这些界面第七项,是否忽略路径中的大小写工具栏的介绍
target finder 目标查找Subdomain Scanner 二级域名的查找信息收集的两个功能输入iprange地址192.168.12.0/24扫描这个ip段的信息可能看到存活的信息,以及什么网站,hostname主机名,还有版本号
二级域名查找是www.baidu.comwww.tieba.baidu.com查找的与此类似
认证测试输入要爆的地址表单,web 选择框一和框2以及错误关键字resulit no下面还有用户名和密码的爆破字典
来自为知笔记(Wiz)
介绍
file,保存文件的地方扫描的tool,所有的配置,证书啊,http认证,代理的配置,自定的cookie等扫描配置与左侧的一样configurations scan profile 是一些脚本 help帮助,检查是否更新等,以及awvs版本的信息
左侧的工具栏
awvs扫描网站第一部,点击左上角的New Scan,弹出来下面的窗口,输入我们要扫描的ip地址或者url下面的,如果你曾经爬行过,我们可以把爬行的结果放进去
点击Next,选择默认方式即可,第一个框,里面是让我们选择扫描什么样类型的漏洞模块,第二个框是让我们对扫描做一些配置,一般我们扫描的时候都配置完全啦。
点击next ,这个时候系统就会识别我们所要扫描的网站的一些信息web服务器的版本,服务器上运行的操作系统,以及我们要扫描的url,有的时候可能识别不是很全,但没有关系,我们也可以通过站长工具获取它的信息。
点击Next,这个时候我们看到的窗口时登陆认证窗口,第一个框,我们点击进入弹出窗口登陆,我们点击录像,让爬虫记录下载我们登陆后留下的痕迹,进行爬行扫描,这样爬的更加全面。
点击Next,我们点击finish就可以完成了。
等待一点时间,当扫描结束的时候,我们就可以看到下面的页面
这个时候我们可以生成报告,点击Report,我们可以预览一下我们要生成的报告
点击如图所示的左上角,点击,我们可以我们想让报告生成什么样的格式,保存一下,报告生成完成
从网站的扫描到报告的生成,这里就结束啦!!!
下面是一些杂记
tool---Scan Settings
LAN seting代理deeoscan深度扫描cookie,要是有的话可以加进去,进一步最下面是爬虫的设置,打勾,可以自行选择文件进行扫描可以定于多个url自行导入,扫描自动识别server banner web服务器的版本操作系统目标服务器的版本以及所用的技术php等表格认证,没登陆可能扫描不全,爬虫爬不到,应该登陆录像
扫描结果分析
挑选有用的内容,右上方,威胁等级3高显示出来漏洞的个数目标信息是否能响应扫描统计
中间扫描的结果信息包括:端口,基础知识,目录树forbidden403,存在,被拒绝200,存在,访问成功
tool----scan settings---scan setting----Crawling Options
第一项弹出一个窗口,手动查找,爬行第二项首页爬行,给首页有关的链接,第三项,不抓取上级目录第四个,扫描子目录第五个,尝试抓取其他链接第六个,处理robots.txt 和sitemap.xml告诉爬虫,不要爬行这些界面第七项,是否忽略路径中的大小写工具栏的介绍
target finder 目标查找Subdomain Scanner 二级域名的查找信息收集的两个功能输入iprange地址192.168.12.0/24扫描这个ip段的信息可能看到存活的信息,以及什么网站,hostname主机名,还有版本号
二级域名查找是www.baidu.comwww.tieba.baidu.com查找的与此类似
认证测试输入要爆的地址表单,web 选择框一和框2以及错误关键字resulit no下面还有用户名和密码的爆破字典
来自为知笔记(Wiz)
相关文章推荐
- spoj 10628 Count on a tree
- 从Eclipse转移到IntelliJ IDEA一点心得
- MySQL锁机制及优化
- iOS RTMP 视频直播开发笔记(6)- 封包 FLV
- 学习笔记cocos2d-x之元素介绍
- [74]Search a 2D Matrix
- UE4学习笔记-人物旋转控制(c++实现)
- PHP empty和isset区别
- 部署asp.net网站的小问题
- Linux-CentOS 安装PHP扩展库Imagick
- iOS RTMP 视频直播开发笔记(5)- iOS H.264 实时硬编码实现原理
- C语言:实现一个函数itoa(int n,char s[]),将整数n这个数字转换为对应的字符串,保存到s中
- Esper——Context
- 谈谈关于Python里面小数点精度控制的问题
- Deploy One Project on Heroku (Week IV)
- 家庭作业6.32
- java22
- (原创)c#学习笔记06--函数02--变量的作用域01--其他结构中变量的作用域
- 飞凌OK6410开发板SDIO无线8189WIFI模块驱动移植
- Android中悬浮窗口的实现原理和示例代码