Web漏洞扫描工具
Web漏洞扫描是在Web信息收集的基础上,进行更进一步的自动化的安全评估、漏洞挖掘、渗透测试
Web漏洞扫描会出现漏报,需要手工结合使用
常见Web漏洞扫描工具
- AWVS、OWASP ZAP、Arachni、Nitko、Paros...
渗透测试执行流程:
AWVS ( Acunetix Web Vulnerability Scanner)
- 一个自动化的Web应用程序安全测试工具
- 可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序
- 官网 : Acunetix | Web Application and API Security Scanner
AWVS下载链接:https://pan.baidu.com/s/1lqFMjoqQpIl4DA-Amb00pA?pwd=9LJY
提取码:9LJY
AWVS的部署与使用
步骤一:复制acunetix_13文件夹到kali的/root目录
将acunetix_13.zip解压之后,将整个文件夹复制到kali 2021系统的/root目录,如图-1所示。
步骤二:运行脚本及相关配置
1)首先cd到/root/acunetix_13/目录,并使用ls查看当前目录中的文件。
┌──(root💀kali)-[~]
└─# cd acunetix_13┌──(root💀kali)-[~/acunetix_13]
└─# ls
acunetix_13.0.200217097_x64_.sh license_info.json wvsc
2)运行脚本及根据向导进行配置
运行脚本,进入配置向导。
┌──(root💀kali)-[~/acunetix_13]
└─# bash acunetix_13.0.200217097_x64_.sh
Acunetix Installer Version: v_200217097, Copyright (c) Acunetix
------------------------------------------------------------
Checking os...
Checking for dependencies...
Please read the following License Agreement. You must accept the terms of this
agreement before continuing with the installation.
press ENTER to continue
>>>
按回车进入阅读协议部分,可以按 q 键直接跳过阅读
Product: Acunetix on-premises web vulnerability scanner and vulnerability man
agement solution
END-USER LICENSE AGREEMENT
Definitions
"End-User License Agreement" ("EULA") or "License" means this End-User Licens
e Agreement.
。。。
"Product" means the Acunetix on-premises web vulnerability scanner and vulner
--More--
输入“yes”接受许可协议
Accept the license terms? [yes|no]
[no] >>> yes
开始配置主机名,可直接回车,使用默认主机名kali
Configuring hostname...
Insert new hostname, or leave blank to use ubuntu
Hostname [kali]:
Using hostname kali
配置邮箱和密码,用于登录后台使用,邮箱设置为kali@tedu.cn,密码设置为admin@123(注意:密码在输入是不显示)。
Configuring the master user...
Email:kali@tedu.cn
Password:
Password again:Initializing file system...
Extracting files to /home/acunetix/.acunetix....
步骤三:复制相关文件到软件目录,进行覆盖破解
┌──(root💀kali)-[~/acunetix_13]
└─# cp wvsc /home/acunetix/.acunetix/v_200217097/scanner/┌──(root💀kali)-[~/acunetix_13]
└─# cp license_info.json /home/acunetix/.acunetix/data/license/
步骤四:登录验证
使用kali火狐浏览器访问https://127.0.0.1:3443,输入邮箱和密码,如图-2所示。
图-2
点击“Login”登录,AVWS的web界面如图-3所示。
图-3
步骤五:添加扫描目标并对目标进行扫描
1)添加扫描目标
依次点击“Targets”-“Add Target”,输入Address,之后点击“Save”进行保存,如图-4所示。
2)保持默认,点击“Scan”进行扫描,如图-5所示。
图-5
3)选择扫描选项,保持默认,点击“Create Scan”,如图-6所示.
图-6
4)正在扫描目标网站,如图-7所示。
图-7
5)扫描完成,如图-8所示。
图-8
步骤六:查看扫描结果
点击“Vulnerabilities”,然后点击某一项,在右侧会显示该漏洞的描述,如图-9所示。
