一、AWVS简介
Acunetix Web Vulnerability Scanner(简称AWVS)是一个自动化的Web漏洞扫描工具,它可以扫描任何通过Web浏览器访问和遵循HTTP/HTTPS规则的Web站点。
AWVS原理是基于漏洞匹配方法,通过网络爬虫测试你的网站安全,检测流行安全漏洞。
AWVS可以通过SQL注入攻击、XSS(跨站脚本攻击)、目录遍历、代码执行等漏洞来审核web应用程序的安全性并输出扫描报告。相对于手动测试的复杂和耗时,它能快速的发现漏洞来提高效率和漏洞覆盖面。
二、在Kali里安装AWVS
1.直接将下好的awvs文件(acunetix_trial.sh)拖进kali的目录下并右键提取解压
2.chmod 777 acunetix_trial.sh:赋予awvs文件权限
chmod 777patch_awvs:赋予激活文件权限
3.进入到文件所在的目录,输入./acunetix_trial.sh 直接运行安装 (./表示当前目录)
4、激活配置
把激活文件patch_awvs复制到/home/acunetix/.acunetix_trial/v_190325161/scanner/下
命令:cp patch_awvs /home/acunetix/.acunetix_trial/v_190325161/scanner/
到复制的目录下面直接运行激活文件
命令:./patch_awvs
5.用浏览器打开Awvs的客户端:https://127.0.0.1:13443(13443为linux下awvs的默认端口,3443是windows下awvs的默认端口)
输入安装时的邮箱账号和密码登陆。
后续可以通过打开kali,开启AWVS服务
开启服务:service acunetix_trial start
查看服务状态: service acunetix_trial status
状态为active(running)表示开启
AWVS的左侧功能模块主要为六个:
1、Dashboard:仪表盘模块,你扫描过的网站的一些漏洞信息这里会显示
2、Targets:目标模块,就是你要扫描的目标网站
3、Vulnerabilities:漏洞模块,显示扫描的漏洞详情
4、Scans:扫描模块,从Target里面选择目标站点进行扫描
5、Reports:报告模块,漏洞扫描完之后的报告
6、Settings:设置模块,就是软件的一些设置,包括软件更新,代理设置等等
三、AWVS的案例扫描
1、添加Target:填写目标的域名或者IP
2、设置扫描选项:
扫描速度Scan Speed(越慢则越仔细)、站点是否需要登陆Site Login、针对不同Web站点的扫描插件AcuSensor(能帮助搜集到更多信息)等
3、设置扫描类型和扫描时间
4、保存设置,点击Create Scan开始扫描
四、分析AWVS扫描报告
扫描完成后,可以生成报告。
五、AWVS常见问题
1、windows下支持安装AWVS吗?
支持,可以参考以下教程,比较简单,可以自行安装
https://www.cnblogs.com/chun-xiaolin001/p/10060830.html
2、AWVS忘记了密码怎么办,需要重新安装吗?
不需要,可以进入kali的
/home/acunetix/.acunetix_trial目录下,
运行change_credentials.sh,可以直接重置密码