web漏洞扫描之AWVS

简介

本篇文章是在基于kali中安装，windows安装awvs可以参照此博客

AWVS是一个自动化的web漏洞扫描工具，它可以扫描任何通过web浏览器访问和遵循HTTP/HTTPS规则的web站点。

1. AWVS原理是基于漏洞匹配方法，通过网络爬虫测试你的网站安全，检测流行安全漏洞。
2. AWVS可以通过SQL注入、XSS、目录遍历、代码执行等漏洞来审核web应用程序的安全性并输出扫描报告。相对于手动测试的复杂和耗时，它能快速的发现漏洞来提高效率和漏洞覆盖面。

开启

1. 打开kali，开启AWVS服务
   开启服务：service acunetix_trial start
   查看服务状态：service acunetix_trial status
   状态为绿色的active（running）表示开启

2. 用浏览器Bing打开awvs的客户端 (13443为linux下awvs的默认端口，3443是windows下awvs的默认端口)

https://192.168.226.131:13443

3. 输入安装时的邮箱账号和密码登陆.

扫描测试

1. 添加Target ：填写目标的域名或者IP

2. 设置扫描选项：
   扫描速度Scan Speed（越慢则越仔细）、站点是否需要登陆Site Login、针对不同Web站点的扫描插件AcuSensor(能帮助搜集到更多信息）等

3. 设置扫描类型和扫描时间

4. 保存设置，点击Create Scan开始扫描

5. 找到扫描功能模块，可以看到扫描出的基本信息，如web服务器版本，操作系统，脚本语言等
   

6. 找到漏洞模块，可以看到扫描的结果，找到的漏洞可能存在误报，因此需要进一步的验证。
   

7. 漏洞扫描报告方便整理扫描信息，验证漏洞。
   

AWVS忘记了密码？

不需要重新安装，可以进入kali的/home/acunetix/.acunetix_trial目录下，运行change_credentials.sh，可以直接重置密码。