web 安全测试工具——awvs

1. 介绍

awvs 全称 Acunetix Web Vulnerability Scanner,主要用于扫描 Web 应用程序上的安全问题,如 SQL 注入,XSS,目录遍历,文件包含,参数篡改,认证攻击,命令注入等,是一款网络漏洞扫描工具。

2. 版本介绍

3. AWVS 10.5

3.1 安装

  1. 点击 2016_02_17_00_webvulnscan105.exe 直接安装,可以自定义安装到某个文件夹下。

  1. 继续:

  1. 直接继续:

  1. 这里需要注册,直接点击取消

  1. 这时候就在桌面生成了两个文件,我们主要使用圈中的:

  1. 使用 Acunetix Web Vulnerability Scanner 10.x Consultant Edition KeyGen.exe 直接激活即可。

  1. 点击 patch

  1. 一路 next,直到 finish 即可

可参考资料:https://www.cnblogs.com/iamver/p/7124718.html

3.2 界面介绍

新建一个扫描:

模块介绍:

3.3 功能介绍

Site Crawler

HTTP Editor

右击打开,得到请求头,请求数据,结构分析之类的东西(可以修改)

Target Finder (目标查找)

Subodmain Scanner(子域名扫描)

HTTP Sniffer

跟 brupsuite 功能类似,抓包改包,设置好代理后就可以了

使用:

在本机开启一个 docker 服务

输入信息之后,在这里会自动识别 baner 信息

不使用登录用户进行扫描,速度很快

在这里会显示当前的进度和详情

扫描完成之后,可以将结果导出,当然,也可以在强制停止扫描,将结果导出

4. awvs10.0 RCE 反制

但是,小心 awvs10.0 版本存在重大漏洞!

防守人员可以通过添加一些制定的 js 代码达到反制的目的,可以让扫描机直接关机重启,也可有反弹 shell 控制扫描机。

参考链接:

https://mp.weixin.qq.com/s/cugBjRGU0PwzjWAeA0i-XA

https://www.secpulse.com/archives/40741.html

https://mp.weixin.qq.com/s/RMco5b9K9B3hEViHpQCR3A

  • 安全
    30 引用 • 37 回帖 • 1 关注
回帖
请输入回帖内容 ...