AWVS教程

AWVS安装教程与基本使用方法

一、安装教程

这里以AWVS11为例,下载方法可以从官网下载,免费版本也可以从GitHub上找

  1. 双击安装包出现下面界面,填写邮箱、密码点击下一步
    AWVS教程_第1张图片

  2. 点击下一步后让你填写端口号,默认端口号问3443如果你不想用可以更改以防止端口冲突
    AWVS教程_第2张图片

  3. 这一步是询问你是否需要在桌面添加快捷方式一般默认勾选
    AWVS教程_第3张图片

  4. 阅读它的使用协议然后点击下一步
    AWVS教程_第4张图片

  5. 安装完成
    AWVS教程_第5张图片

  6. 双击桌面快捷方式打开AWVS界面,新版本的AWVS没有了以前的程序界面现在全部都是web界面,输入在第一步填写的邮箱地址和密码登录就可以了
    AWVS教程_第6张图片

二、AWVS使用教程

AWVS简介

相较于大容量的AppScan,AWVS显得比较轻量级,安装包大概100M,扫描速度比较有优势,所包含的扫描漏洞类型也比较齐全,可以把两款工具结合一起使用

AWVS是一款Web漏洞扫描工具,通过网络爬虫测试网站安全,检测流行的Web应用攻击,如跨站脚本、sql 注入等。据统计,75% 的互联网攻击目标是基于Web的应用程序。更新以后AWVS从以前的程序化界面升级到了web界面化,界面更整洁使用更流畅,对用户更加友好。

AWVS主要功能模块

  • Blind SQL Injector:盲注工具

  • HTTP Editor:http协议数据包编辑器

  • WebScanner:Web安全漏洞扫描(核心功能)

  • Site Crawler:遍历站点目录结构(爬虫功能)

  • HTTP Sniffer:HTTP协议嗅探器

  • HTTP Fuzzer:模糊测试工具

  • Authentication Tester:Web认证破解工具

  • Target Finder:端口扫描,找出web服务器端口(如80,443)

  • Subdomain Scanner:子域名扫描器,利用DNS查询使用方法

AVWS安全扫描操作方法

  1. 新建扫描,输入要测试扫描的地址
    AWVS教程_第7张图片

  2. 点击Scan开始扫描,有的测试网站需要你提前登录才能扫描,这样就先设置好登录页面的账号和密码
    AWVS教程_第8张图片

  3. 设置扫描时的UA
    AWVS教程_第9张图片

  4. 设置扫描选项,一般选择全扫,也可以根据你当前需要设置为你需要的扫描类型
    AWVS教程_第10张图片

  5. 查看扫描结果,扫描结果一般分为高危、中危、低危和无风险,也能扫描网站的ip地址、服务器版本、用什么语言编写。点击相应的漏洞可以查看漏洞的类型、修复方法、能有什么危害。
    AWVS教程_第11张图片

  6. AWVS在扫描结束后还可以根据不同要求不同阅读方式,可生成不同类型的报告和细则,然后点击导出报告图标即可导出此次安全扫描报告,一般情况下不推荐使用AWVS导出的报告来作为这次渗透测试的报告。

三、结果分析

同样的,扫描结果并不代表完全真实可靠,还需要依靠人工再次验证判断。在AWVS扫描结果基础上,根据不同的严重级别进行排序、手工+工具验证的方式对漏洞验证可靠性,排除误报的情况,并尽可能找出漏报的情况,把本次扫描结果汇总,对以上已验证存在的安全漏洞排列优先级、漏洞威胁程度,并提出每个漏洞的修复建议,总的来说我们可以借助这个工具来进行扫描分析,但不能完全依赖于这个工具。编写渗透测试报告时可以根据扫描结果对测试网站做出合理判断,然后,再把此次渗透测试报告提交给项目负责人,由负责人决定哪些漏洞转给开发工程师修复,而后再由安全测试工程师进行回归验证修复的状况

你可能感兴趣的:(安全)