Web漏扫之AWVS工具简介

简介

AWVS是自动化应用程序安全测试工具，支持windows平台，主要用于扫描web应用程序上的安全问题，如SQL注入，XSS，目录遍历，命令注入等。这里介绍AWVS10.5版本，读者可以安装最新版本，功能上没有太大变化

功能使用

Web扫描器

AWVS的核心功能扫描器，扫描脚本，参数，时间等都可以定制。用于可以根据需要配置，最后扫描出来可以将扫描内容导出为wvs格式 。

站点爬取

类似BurpSuite的Spider功能，当爬取文件和目录时，可以配置要包含和排除的文件类型

目标查找

可以扫描出一个IP是否提供web服务，是否开启80,443端口。功能比较鸡肋，使用Nmap等扫描工具可以扫描出更加详细的信息。

子域名扫描

根据DNS纪录搜索目标域名的子域名

HTTP编辑器

类似BurpSuite的重放功能，将请求截取后，修改内容，然后重新发送

HTTP嗅探

类似BurpSuite的proxy代理功能，用于抓取本地浏览进行分析，需要设置代理端口

HTTP模糊测试

认证信息的爆破，功能与BurpSuite的Intruder类似，还有一些其他的小功能，读者可以自行探索一下。

小结

AWVS作为一款傻瓜式的web漏扫工具，功能使用比较简单，但是功能十分强大，足以进行专业的漏洞扫描。主要的功能就是web扫描器。可以与Burp Suite一起使用，得到更加全面的漏洞信息。希望学习BurpSuite可以参考我的BurpSuite教程