标签:
一些漏洞:
sql注入,xss,文件包含,目录遍历,参数篡改,认证攻击
即使你有一些防火墙以及waf,那些黑客同样可以绕过
这个时候安全人员就需要一些安全检测工具,找出来漏洞,修补是最好的办法
下面介绍awvs
acunetix web vulnerability scanner
一款自动化的web应用安全测试工具,审计检查漏洞,如sql注入,xss等
介绍
file,保存文件的地方扫描的
tool,所有的配置,证书啊,http认证,代理的配置,自定的cookie等扫描配置与左侧的一样
configurations scan profile 是一些脚本
help帮助,检查是否更新等,以及awvs版本的信息
左侧的工具栏
awvs扫描网站
第一部,点击左上角的New Scan,弹出来下面的窗口,输入我们要扫描的ip地址或者url
下面的,如果你曾经爬行过,我们可以把爬行的结果放进去
点击Next,选择默认方式即可,第一个框,里面是让我们选择扫描什么样类型的漏洞模块,第二个框是让我们对扫描做一些配置,一般我们扫描的时候都配置完全啦。
点击next ,这个时候系统就会识别我们所要扫描的网站的一些信息web服务器的版本,服务器上运行的操作系统,以及我们要扫描的url,有的时候可能识别不是很全,但没有关系,我们也可以通过站长工具获取它的信息。
点击Next,这个时候我们看到的窗口时登陆认证窗口,第一个框,我们点击进入弹出窗口登陆,我们点击录像,让爬虫记录下载我们登陆后留下的痕迹,进行爬行扫描,这样爬的更加
全面。
点击Next,我们点击finish就可以完成了。
等待一点时间,当扫描结束的时候,我们就可以看到下面的页面
这个时候我们可以生成报告,点击Report,我们可以预览一下我们要生成的报告
点击如图所示的左上角,点击,我们可以我们想让报告生成什么样的格式,保存一下,报告生成完成
从网站的扫描到报告的生成,这里就结束啦!!!
下面是一些杂记
tool---Scan Settings
LAN seting代理
deeoscan深度扫描
cookie,要是有的话可以加进去,进一步
最下面是爬虫的设置,打勾,可以自行选择文件进行扫描
可以定于多个url自行导入,扫描
自动识别
server banner web服务器的版本
操作系统
目标服务器的版本
以及所用的技术php等
表格认证,没登陆可能扫描不全,爬虫爬不到,应该登陆录像
扫描结果分析
挑选有用的内容,右上方,
威胁等级3高
显示出来漏洞的个数
目标信息
是否能响应
扫描统计
中间扫描的结果
信息包括:端口,基础知识,目录树
forbidden403,存在,被拒绝
200,存在,访问成功
tool----scan settings---scan setting----Crawling Options
第一项弹出一个窗口,手动查找,爬行
第二项首页爬行,给首页有关的链接,
第三项,不抓取上级目录
第四个,扫描子目录
第五个,尝试抓取其他链接
第六个,处理robots.txt 和sitemap.xml告诉爬虫,不要爬行这些界面
第七项,是否忽略路径中的大小写
工具栏的介绍
target finder 目标查找
Subdomain Scanner 二级域名的查找
信息收集的两个功能
输入iprange地址192.168.12.0/24扫描这个ip段的信息可能看到存活的信息,以及什么网站,hostname主机名,还有版本号
认证测试
输入要爆的地址
表单,web 选择框一和框2
以及错误关键字resulit no
下面还有用户名和密码的爆破字典
Awvs的使用
标签:
原文地址:http://www.cnblogs.com/lazy0/p/4912240.html
