- 1(经验之谈)测试人的下一个春天,会是车载测试吗?_车载测试缺口大吗
- 2vscode Java开发环境搭建
- 3lc501.二叉搜索树中的众数【线索二叉树Morris遍历->lc538】_lc538a
- 4mysql,oracle,sql server中的默认事务隔离级别查看,更改_oracle默认隔离级别
- 5链表的概念、使用场景、常见链表_链表应用场景
- 6SpringBoot+AOP+Redis 防止重复请求提交_aop 过滤重复请求
- 7微信小程序Vant Weapp-Card 商品卡片自定义修改样式_vantab 卡片
- 8start-yarn.sh无法群起resourceManager的坑_配置完yarn高可用后启动start-yarn.sh 没有resourcemanager进程
- 9斐波那契数列【C语言实现】_斐波那契数列c语言
- 10接口入参形式_接口测试,接口协议以及常用接口测试工具详解
【渗透测试】漏洞扫描AWVS安装使用教程,三分钟手把手教会,非常简单
赞
踩
一、AWS简介
Acunetix Web Vulnerability Scanner(简称AWVS)是一个自动化的Web漏洞扫描工具,它可以扫描任何通过Web浏览器访问和遵循HITP/HTTPS规则的Web站点。
AWVS原理是基于漏洞匹配方法,通过网络爬虫测试你的网站安全,检测流行安全
AWVS可以检测什么漏洞,它有什么优势?
AWVS可以通过SQL注入攻击、XSS(跨站脚本攻击)、目录遍历、代码执行等漏洞来审核web应用程序的安全性并输出扫描报告。相对于手动测试的复杂和耗时,它能快速的发现漏洞来提高效率和漏洞覆盖面。
AWVS操作简单,很适合初学者来学习和掌握。
二、安装AWVS
【kali 安装awvs】
一、直接将下好的awvs文件拖进kali的目录下并右键提取解压
二、给AWVS和破解程序分配权限
在home目录右键打开终端输入:sudo su
kali终端运行命令: chmod 777 filename(文件名)
说明:运用 chmod命令可以修改文件的权限。
kali里面每个用户的角色和权限划分的很细致也很严格,而操作文件或目录的用户,有3种不同类型:文件所有者、群组用户、其他用户。777分别对应三种用户,7表示可读4可写2可执
行1的权限值之和
chmod 755 acunetix_trial.sh:赋予awvs文件权限
chmod 777 patch_awvs:赋予激活文件权限
查看权限:绿色为有权限
三、进入到文件所在的目录
输入./acunetix_trial.sh直接运行安装(/表示当前目录)查看权限
查ip
访问https://192.168.239.132:13443/,当访问192.168.239.132访问出错,加上https://
点击高级继续访问
进入后点击 Administrator里面有个Profile
查看许可证
四、激活配置
一、把激活文件 patch_awvs复制到/home/ acunetix/.acunetix _trial/v_190325161/ scanner/下命令
命令:cp patch_awvs /home/acunetix/.acunetix_trial/v_190325161/scanner/
说明:cp为复制文件
进入目录:cd /home/acunetix/.acunetix_trial/v_190325161/scanner/
查目录:
二、到复制的目录下面直接运行激活文件
命令:./patch_awvs
刷新下:
设置更新:建议不要更新save下
三、AWVS页面介绍
AWVS的左侧功能模块主要为六个:
1、Dashboard:仪表盘模块,你扫描过的网站的一些漏洞信息这里会显示
2、Targets:目标模块,就是你要扫描的目标网站
3、Vulnerabilities:漏洞模块,显示扫描的漏洞详情
4、Scans:扫描模块,从 Target里面选择目标站点进行扫描
5、Reports:报告模块,漏洞扫描完之后的报告
6、Settings:设置模块,就是软件的一些设置,包括软件更新,代理设置等等
四、AWVS的案例扫描
开启AWVS
1、打开kali,开启AWVS服务
开启服务: service acunetix_trial start
查看服务状态:
状态为 active( running)表示开启
2、用浏览器打开Awvs的客户端
https://127.0.0.1:13443
(13443为 linux下awvs的默认端口,3443是 windows下awvs的默认端口)
3、输入安装时的邮箱账号和密码登陆
扫描测试
1、添加 Target:填写目标的域名或者IP(http://59.63.200.79:8804/)
2、设置扫描选项
扫描速度 Scan Speed(越慢则越仔细)、站点是否需要登陆 Site Login、针对不同Web站点的扫描插件 AcuSensor(能帮助搜集到更多信息)
3、设置扫描类型和扫描时间
4、保存设置,点击 Create Scan开始扫描
找到扫描功能模块,可以看到扫描出的基本信息,如Web服务器版本,操作系统,脚本语言等
找到漏泂模块,可以看到扫描的结果,找到的漏洞可能存在误报,因此需要进一步的验证。
五、分析AWVS扫描报告
漏洞扫描报告能方便渗透測试人员报告给上级,展示扫描结果。同时也方便整理扫描信息,验证漏洞
六、AWVS常见问题
一、windows下支持安装AWVS吗?
支持,可以参考以下教程,比较简单
www.cnblogs.com/chun-xiaoli…
二、AWVS忘记了密码怎么办,需要重新安装吗?
不需要,可以进入kali的
home/acunetix/.acunetix_trial目录下,
运行 change_credentials.sh,可以直接重置密码
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
