AWVS扫描Web应用程序

系列文章

AWVS安装与激活

1.账户密码登录扫描

我们准备了一个靶场用来做测试扫描：

1.点击【Targets】，点击【add Target】

2.输入扫描地址和扫描描述,点击【save】

3.点击【Site Login】

4.选择【try to auto-login into the site】,输入登录地址，用户名【xiaogang】，密码【123456】，重复密码【123456】

5.点击【HTTP Authentication】的开启按钮

6.输入用户名【小刚】,密码【123456】，重复密码【123456】

7.点击【save】，然后点击【Scan】按钮

8.选择扫描设置，如图所示，点击【create Scan】

9.点击扫描目标，查看扫描具体内容

10.等待扫描完成

2.利用录制登录序列脚本扫描

1.点击【Targets】，点击【add Target】

2.输入扫描地址和扫描描述,点击【save】

3.点击【Site Login】

4.选择【Use pre-recorded login sequence 】,点击【New】

5.点击【登录】

6.输入用户名【xiaogang】，密码【123456】,点击【登录】

7.检查登录脚本流程是否完整，点击【Next】

8.点击【xaiogang_vip3】

9.点击【Restrict requests to path】

10.点击【Next】

11.点击【确定】

12.点击【Finish】

13.点击【Scan】

14.选怎扫描配置，如下图所示，点击【Create Scan】

15.点击目标连接，查看具体扫描信息

16.等待扫描完成

3.利用定制cookie扫描

我们准备如下页面进行实验：

扫描过程会遇到网站存在手机验证码，图形验证码，滑动验证等等，这时候想要深度扫描时，就需要进行登录绕过。最长用的手段就是定制cookie绕过。

1.点击【Targets】，点击【add Target】

2.输入扫描地址和扫描描述,点击【save】

3.点击【Advanced】

4.点击【Custom Cookies】

5.输入被测网站网址

6.按下F12进入开发者模式，进入到网络板块，刷新

在请求头中得到cookie信息

7.切换会AWVS，输入cookie的值，点击【+】

8.点击【save】，然后点击【Scan】

9.设置扫描选项，如下图所示，点击【Create Scan】

10.点击扫描的网站地址，查看扫描信息

11.等待扫描完成