AWVS扫描工具
介绍
AWVS是一款Web漏洞扫描工具,通过网络爬虫测试网站安全,检测流行的Web应用攻击,如跨站脚本、sql 注入等。据统计,75% 的互联网攻击目标是基于Web的应用程序。
AWVS的主要功能模块
Blind SQL Injector:盲注工具
HTTP Editor:http协议数据包编辑器
WebScanner:Web安全漏洞扫描(核心功能)
Site Crawler:遍历站点目录结构(爬虫功能)
HTTP Sniffer:HTTP协议嗅探器
HTTP Fuzzer:模糊测试工具
Authentication Tester:Web认证破解工具
Target Finder:端口扫描,找出web服务器端口(如80,443)
Subdomain Scanner:子域名扫描器,利用DNS查询使用方法
AWVS安全扫描操作方法
点击File –> New –> Web Site Scan;or工具栏上的“New Scan”打开创建页面,如下图:
填写需要测试的网址,如下图,点击”Next”
根据不同要求,选择测试类型,一般默认选择Default,点击“Next”即可,基本上都是一路全程“Next”。
开始遍历被测网站的目录结构,右边是探测的漏洞
待完全停止or结束扫描之后,目录结构上方的工具栏图标颜色由暗变明,点击“Report”-“Yes”:将扫描结果插入AWVS内置的数据库中。再次点击“Report”,生成扫描报告。
根据不同要求,选择不同阅读者双方的报告,可生成不同类型的报告和细则,然后点击导出报告的图标,选择不同的格式,即可导出此次安全扫描的报告。
结果分析(Analysis)
同样的,扫描结果并不代表完全真实可靠,还需要依靠人工再次验证判断。在AWVS扫描结果基础上,根据不同的严重级别进行排序、手工+工具验证的方式对漏洞验证可靠性,排除误报的情况,并尽可能找出漏报的情况,把本次扫描结果汇总,对以上已验证存在的安全漏洞排列优先级、漏洞威胁程度,并提出每个漏洞的修复建议。
