web 安全测试工具——awvs

本贴最后更新于 1218 天前,其中的信息可能已经时移俗易

1. 介绍

awvs全称Acunetix Web Vulnerability Scanner,主要用于扫描web应用程序上的安全问题,如SQL注入,XSS,目录遍历,文件包含,参数篡改,认证攻击,命令注入等,是一款网络漏洞扫描工具。

2. 版本介绍

3. AWVS 10.5

3.1 安装

  1. 点击2016_02_17_00_webvulnscan105.exe直接安装,可以自定义安装到某个文件夹下。

  1. 继续:

  1. 直接继续:

  1. 这里需要注册,直接点击取消

  1. 这时候就在桌面生成了两个文件,我们主要使用圈中的:

  1. 使用Acunetix Web Vulnerability Scanner 10.x Consultant Edition KeyGen.exe直接激活即可。

  1. 点击patch

  1. 一路next,直到finish即可

可参考资料:https://www.cnblogs.com/iamver/p/7124718.html

3.2 界面介绍

新建一个扫描:

模块介绍:

3.3 功能介绍

Site Crawler

HTTP Editor

右击打开,得到请求头,请求数据,结构分析之类的东西(可以修改)

Target Finder (目标查找)

Subodmain Scanner(子域名扫描)

HTTP Sniffer

跟brupsuite功能类似,抓包改包,设置好代理后就可以了

使用:

在本机开启一个docker服务

输入信息之后,在这里会自动识别baner信息

不使用登录用户进行扫描,速度很快

在这里会显示当前的进度和详情

扫描完成之后,可以将结果导出,当然,也可以在强制停止扫描,将结果导出

4. awvs10.0 RCE反制

但是,小心awvs10.0版本存在重大漏洞!

防守人员可以通过添加一些制定的js代码达到反制的目的,可以让扫描机直接关机重启,也可有反弹shell控制扫描机。

参考链接:

https://mp.weixin.qq.com/s/cugBjRGU0PwzjWAeA0i-XA

https://www.secpulse.com/archives/40741.html

https://mp.weixin.qq.com/s/RMco5b9K9B3hEViHpQCR3A

  • 安全
    52 引用 • 44 回帖 • 2 关注
回帖
请输入回帖内容 ...