AWVS基本用法_awvs网页版使用教程

大家好，又见面了，我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE使用 1年只要46元售后保障童叟无欺

什么是AWVS

Acunetix Web Vulnerability Scanner（简称AWVS）是一款知名的网络漏洞扫描工具，它通过网络爬虫测试你的网站安全，检测流行安全漏洞，现已更新到10。（下面用的是AWVS9）

AWVS用法比较简单，先对工具一个一个来说明~

工具

Site Crawler

这里写图片描述
点击Start对所输入的URL进行爬取，但是有的页面需要登录，不登录有些文件爬不到，就可以选择可以登录的login sequence进行登录（login sequence在处Application Settings处详细说明）,爬网结果可以保存为cwl文件，以便后续站点扫描使用。

Target Finder

Target Finder 页面
可以指定IP地址段进行端口扫描（类似于Nmap），可以用与信息收集。
进行了端口扫描后会进行服务发现，得到端口上对应的服务。

Subdomain Scanner

用DNS进行域名解析，找域名下的子域及其主机名（用于信息收集）
可选择使用操作系统默认配置的DNS服务器或自定义的一个DNS服务器（谷歌：8.8.8.8）
Subdomain Scanner页面

Blind SQL Injector页面
在相应参数位置按+添加注入点，让AWVS进行注入探测，可以dump有sql漏洞的数据库内容。

HTTP Editor

HTTP Editor
和BP repeater类似，可以进行手动漏洞挖掘探测。
Enocoder tool中可以进行各种加密解密。

HTTP Sniffer

和BP proxy类似，首先要设置代理(Application Settings->HTTP Sniffer)，截取数据包，修改数据包提交或者丢弃。
利用代理功能进行手动爬网（保存为slg文件，在Site Crawler页面点击Build structure from HTTP sniffer log），得到自动爬网爬取不到的文件。

HTTP Fuzzer

HTTP Fuzzer 页面
类似于BP intruder，进行暴力激活成功教程，点击+选择类型，点击insert插入
注意：插入字母的时候选取字母的范围填写的是字母对应的ASCII码。

Authentication Tester

Authentication Tester 页面
认证测试，用于尝试激活成功教程激活成功教程账户密码。
基于表单的认证方法要点击Select 选择表单的哪一部分是用户名，那一部分是密码。

Compare Results

可以用不同用户登录后结果进行比较，和BP Compare类似。

Configuration

Application Settings

程序本身的设置
Application Settings页面
Client Certifications：

有些Web Application需要客户端证书才能进行扫描。
Login Sequence Manger：

类似于把登陆过程进行录像，下面进行制作Login Sequence ：
1、首先输入一个要进行登录的URL，点击Next
2、类似于使用浏览器，输入用户名和密码：
Login Sequence2
3、点击登录过程中的限制（如退出链接常需要限制）；
4、输入验证登录成功或失败的标志；
5、Review
（AVWS站点扫描中可以选择login sequence、在Site Crawling处也可以选择login sequence）