渗透测试学习笔记——初次使用 AWVS 对网站进行扫描

简单介绍

AWVS全称：Acunetix Web Vulnerability Scanner

AWVS是一款对网站及服务器漏洞扫描的软件，包含付费版本及免费版本，能够自动分析客户端脚本并允许对Ajax 和 web 2.0应用程序进行安全性测试。

扫描步骤

1.打开Acunetix Web Vulnerability Scanner，点击New Scan打开Scan Wizard

2.将需要扫描的网站网址填写在scan single website，接着便点击next

3.选择默认配置，点击Next

4.点击Next

5.点击Next

6.点击Finish

7.开始扫描了：

配置项解读

1.Scanning profile（扫描策略）

Default ：默认设置，全面扫描
AcuSensor：将黑盒扫描和测试执行反馈结合起来，需要在目标测试站植入 sensor 传感器
Blind SQL Injection：SQL 盲注的单一模块扫描
CSRF：跨站请求伪造的单一模块扫描
Directory And File Checks：扫描目录与文件
Empty：不使用任何检测
File Upload：文件上传漏洞的单一模块扫描
GHDB： 利用 Google hacking 进行检测
High RiskAlerts：只检测高危漏洞
Network Scripts：网络脚本检测
Parameter Manipulation：参数篡改的单一模块扫描
Sqllnjection：SQL注入单一模块扫描
Text Search：信息收集的单一模块扫描
Weak Passwords：弱囗令暴力破解的单一模块扫描
Web Applications：Web 应用程序指纹探测
XSS：跨站脚本攻击检测的单一模块扫描

2.Scanning mode（扫描模型）
路径：Configuration->Scan Settings

Heuristic模式：标准扫描
Quick 模式：快速扫描
Extensive 模式：全面扫描
区别在于URL深度与扫描线程数

3.Deepscan
路径：Configuration->Scan Settings

Deepscan指的是使用浏览器对目标进行加载渲染，这样可以获得更多的信息。该功能默认情况下是开启的，如果已知目标并没有使用前端框架的情况下，可以关闭它，这样能够让扫描更加快速的进行。

漏洞报告

1.报告相关描述项
漏洞描述（Vulnerability description）
涉及到该漏洞的业务点（Affected items）
它会产生什么样的影响（The impact of this vulnerability）
需要怎样去修复该种类型的漏洞（How to fix this vulnerability）
报告里还会有漏洞的详细介绍（Detailed information）
相关的参考信息（Web references）

2.绿色代表情报信息

3.蓝色代表低危漏洞

4.黄色代表中危漏洞

5.红色代表高危漏洞

6.查看漏洞项

7.漏洞详情

Vulnerability description：对漏洞的描述
Attack details：攻击细节，包括使用的 Payload 之类的
View HTTP headers：查看攻击使用的网络请求包
View HTML response：通过网页方式查看攻击请求的结果

标签：Web,AWVS,扫描,笔记,漏洞,点击,模块,单一
来源： https://blog.csdn.net/cecily044/article/details/117920867