云安全防护技术--------网络漏洞检测分析

云安全防护技术--------网络漏洞检测分析

一：云环境web漏洞扫描

*学会安装AcunetixWVS

*利用WVS进行漏洞扫描

*了解web漏洞扫描原理

*掌握Acunetix WVS漏洞扫描器的基本使用方法

*利用Acunetix WVS扫描器完成对测试网站的基本扫描测试，并能通过扫描结果评估网站的安全性

二：云端web漏洞手工检测分析

任务一：

*了解常见web漏洞及其攻击原理
*了解Burp Suite的基本功能以及Proxy功能
*掌握Burp Suite软件中Proxy代理及手动配置功能的应用
*配置Burp Suite的Proxy选项卡并设置本机浏览器代理，同时测试对目标网站的连接访问

任务二:

*掌握Burp Suite Target的功能
*使用Burp Suite Target功能搜索目标漏洞

任务三：

*掌握Burp Suite Spider 功能
*掌握Burp Suite Spider 功能配置与应用

任务四：

*掌握Burp Suite Scanner在web应用程序测试中的功能
*能够使用Burp Suite Scanner对指定的web应用进行漏洞测试并分析测试结果

任务五：

*掌握Burp Suite Intruder在网站漏洞爆破中的应用
*掌握Burp Suite Intruder的种功能配置
*使用Burp Suite Intruder对网站漏洞进行爆破测试

实验环境：

A.云环境web漏洞扫描

安装window-2008虚拟机
*安装Acunetix WVS漏洞扫描器
*能够访问Internet

B.云端web漏洞手工检测分析

*在VMware中创建Windows Server 2008 与kali Linux虚拟机，并配置这两台虚拟机以构成局域网
*在Windows Server 2008 虚拟机中配置IIS，并创建好测试网站dvwa

实验内容：

一：云环境web漏洞扫描[利用WVS进行漏洞扫描]

1.Acunetix WVS的安装

2.WVS扫描

登录测试

WVS站点

二：云端web漏洞手工检测分析

任务一：Burp Suite 基础Proxy功能

1.kali中打开Burp SUite 工具并设置

2.启动kali虚拟机中的浏览器，单击右上角的菜单按钮，选项Preferences

3.打开连接设置对话框，进行手动代理设置

4.打开“intercept”子选项卡,打开拦截功能

5.查看相关拦截数据

任务二：Burp Suite Target功能

1.启动Burp Suite，打开“Target”，选择“Site Map”

2.把Site map加入目标范围

3.目标域规则配置界面

4.编辑包含规则或去除规则

任务三：Burp Suite Spider功能

1.选中要测试的页面链接，右击目标网站地址，选中“Spider this host ”命令

2.对“Spider”选项卡下的Options 子选项卡的有关选项取默认配置

3.显示已经请求数量、字节传输量、爬虫范围等信息

任务四：Burp Suite Scanner功能

1.启动Burp Suite，正确配置Burp Proxy并设置浏览器代理在“Target”选项卡的“Site map”子选项卡中配置好需要扫描的域和URL模块路径，右击需要扫描的站点，选择快捷菜单中的“Actively Scan this host ”命令，打开主动扫描配置向导，选择是否移除有关的页面项

2.继续对扫描项进行配置，将不需要扫描的网址移除，以提高扫描效率

3.对攻击插入点进行设置

4.查看进度

5.配置主动扫描与被动扫描

6.选择需要添加的网址，将该网址添加到作用域中，然后进行自动扫描

7.Burp Scanner 将自动扫描经过Burp Proxy 的交互信息

8.查看扫描结果

任务五：Burp Suite Intruder爆破应用

1.启动Burp Suite，按照任务一的介绍完成代理配置

2.用浏览器访问网站，以渗透测试系统dvwa 为靶机站点

3.打开登录界面，输入登录账户及密码

4.单击login 按钮，并在Burp Suite中截取登录数据

5.选中所有数据并在右键快捷菜单中选择“Send to intruder”

6.对爆破变量进行配置

7.对自动标记的变量进行爆破

8.对爆破变量所需的密码文件进行配置

9.设置完成后，选择“Start attack”，在爆破结果中，对密码文件中的密码进行逐个测试

10.以admin为账号，password为口令进行登录验证

出现的问题及解决方案

问题1:wvs登陆扫描时出现了问题，如图：

解决方案：删除该扫描，重新进行扫描，原来是再选择选项的时候点错了，之后成功执行

问题2：在做到任务四的时候发现Kali自带的Burp Swite版本太低

解决方案 :需要升级版->1.7.37,升级完版本后继续实验

问题3：在到任务五：Burp Suite Intruder爆破应用时，在kali主机里访问server2008虚拟机的ip地址时出现了问题

解决方案：多次刷新，还是没有结果，将kali虚拟机的网络连接模式改为桥接模式，成功执行

实验总结

通过这次实验，让我体会到了网络漏洞检测和分析扫描结果的乐趣，让我在亲自动手的同时丰富了自己的知识，提高了自己的能力，虽然出现了一些不起眼的小问题，但使我明白了-----解决问题.分析问题的过程是必要的。在做实验的过程中，我还学会并动手安装了AcunetixWVS，并利用WVS进行漏洞扫描，了解了web漏洞扫描的原理，掌握了Acunetix WVS漏洞扫描器的基本使用方法，利用Acunetix WVS扫描器完成对测试网站的基本扫描测试，并能通过扫描结果评估网站的安全性。了解常见web漏洞及其攻击原理，Burp Suite的基本功能.Proxy功能,掌握Burp Suite软件中Proxy代理及手动配置功能的应用,配置Burp Suite的Proxy选项卡并设置本机浏览器代理，同时测试对目标网站的连接访问,掌握Burp Suite Target的功能等等一系列的知识点。除此之外，也让我明白了—当今时代，网络安全是各种网络活动得以开展的重中之重，多多了解这方面的知识，对于自己，对于国家都有好处。学习和了解相关的安全知识是每个计算机专业学生应该做到的事情，它使我的知识体系更加完善，也让我感受到了学习的乐趣。