AWVS与风险评估修复过程示例

（tips：合规合法使用工具，敬畏网络）

    AWVS，全称Acunetix Web Vulnerability Scanner ，是一款专业商业Web应用 扫描应用，检查的内容，包括如SQL 注入、跨站脚 本攻击、鉴权身份弱口令长度等。图形界面操作方便，安全审核报告专业。

文章只做介绍，用的是版本11版。不同版本会有差异，web界面操作其实大同小异。

文章结构

    -  一、扫描与分析

    -  二、评估与修复

一、扫描与分析

1、打开软件，add target，添加扫描目标

add target

2、选择扫描，假如有做修改，需要先选择save后再scan

scan

3、选择扫描类型，报告和任务计划类型，根据行为需要选择合适项目

type choise

4、扫描过程，大致可见内容版块按照有安全等级、扫描进度

扫描开始

5、扫描结束，导出扫描报告，进行分析

扫描结束

二、评估和修复

1、打开扫描报告，查看风险项（分为高中低和提醒级别）。

报告

2、选取其中一个中危提醒 slow http denial of service attack进行分析

slow http denial of service attack

3、信息收集 slow http denial of service attack

    即慢速http拒绝服务攻击，hacker利用的HTTP POST，指定一个巨大的content-length并以很低的速度发包，eg：10s发一个字节，不断的保持会话链接。当不断有此类超慢连接多了，占用住服务的所有可用连接，从而导致DOS攻击。问题是公开协议都会存在的问题因为请求头太容易被伪造了，不按套路出牌，处理这总的也无非是对速率进行控制，限制请求包的大小。

4、修复建议

    知道了原理，其实加固的思路就有了。比如，可以中断使用URL不支持HTTP方法访问的会话，或者，由于知道是请求头被伪造，那么可以限制HTTP头及包长至一个合理数值/设置一个绝对的会话超时时间/设置一个最小的入站数据传输速率

5、加固与复扫

        由于我新上的应用是基于tomcat构建，其实就在tomcat做限制就行了，tomcat配置文件server.xml 中参考以下设置

${tomcat-home}/conf/server.xml 中更改Connector的实现，使用nio(非阻塞io)实现替换默认的bio(阻塞io)实现，可以提高并发连接的数量，参考下面的：

protocol="HTTP/1.2"

connectionTimeout="20000"  修改为 connectionTimeout="8000"  

即配置项值改成6000(即6秒)

    修复后，重复扫描，结果未出现相同警告，则表示修复成功，反之，则要继续对其系统进行加固，对加固后无效的项目也需要进行rollback或者分析！

三、总结

        web界面的工具使用较为简便。其实对于一些重要的应用，除了工具之外，也可以利用手工（sqlmap和BPsuit进行手工分析），对于一些常用工具在下面也做了 简单补充，新手可了解！

题外话---相关工具介绍

商业产品 

Burp Suite：安全人士的必备工具，《黑客攻防技术宝典·WEB 实战篇》作者同源

绿盟NSFOCUS RSAS极光远程安全评估系统：极光扫描系统新增的WEB 安全评估插件。

免费产品

Nessus（免费）：有商业版和免费版。脆弱性评估工具，更擅长于主机、服务器、网络设备扫描。

NMAP（免费）：主要倾向于端口等的评估。

Paros Proxy（免费）：基于Java 的扫描工具，速度快