Web漏洞扫描——AWVS漏扫工具的使用

前边的文章中，我们已经介绍过许多漏洞扫描的工具，今天我们就来介绍其中一款名叫AWVS漏洞扫描工具的使用。

Acunetix Web Vulnerability Scanner（简称AWVS）是一款知名的网络漏洞扫描工具，它通过网络爬虫测试你的网站安全，检测流行的安全漏洞。

AWVS的安装呢，我就不在这里多说了，大家可以访问它的官方网站：https://www.acunetix.com去下载最新版本的安装包，当然是试用版，大家也可以到网上搜索各种破解版，里边也有详细的安装教程，当然大家要支持正版。

AWVS官网

打开AWVS，我们就可以看到如下图所示的界面，我这款工具的版本是10.5版本，再高一点的版本就是Web页面形式的了，我个人觉得这款比较好用（可能用惯了吧），当然这个工具最常用的就是下图标注的网站扫描功能。

AWVS主界面

点击Web Scanner，我们就可以看到如下图所示的界面，点击红框中的输入框，就可以输入目标网站的URL，当然下拉菜单这种为我们提供了4个实例站点，分别是用html、php、asp、aspnet等语言编写的网站，这里我们选择第一个做测试。

输入目标站点

后边的那个输入框里我们可以选择要扫描的漏洞，这里的漏洞包括：SQL注入、XSS、CSRF及文件上传等漏洞，这里我们就选择系统预设值default，点击后边的“start”就可以开始扫描了。

选择对应漏洞

扫描完成后就会反馈如下图所示的信息，有扫描结果，包括：站点报警、站点结构等，其中红色表示高危漏洞，橙色表示中危漏洞，蓝色表示低危漏洞，绿色表示信息。还有简单的扫描报告，包括报警概要，统计了各种漏洞和信息的数量；站点信息，有目标站点的使用的操作系统和使用的服务等；统计数据，有发送的请求数和响应时间等信息；扫描进程，显示扫描进行了百分之多少。

扫描反馈信息

下面我们找几个高危漏洞，来验证一下扫描出的漏洞是否是真的存在，如下图所示，我们找XSS漏洞和弱口令漏洞来进行验证，右侧也给出了我们验证的方法，XSS漏洞是在username输入框中输入“<script>alert(9003)</script>”代码就可以返回内容为9003的弹框，弱口令已经给出了我们用户名：admin，密码：secret，只要用这个登录看是否成功就可以了。

漏洞信息

下面我们就来验证一下，XSS漏洞验证时发现网站的用户登录页面一直刷新不出来，所以没法验证了，我们只验证弱口令漏洞，我们访问站:http://testhtml5.vulnweb.com/admin，这个地址在漏洞信息里边可以看到，我们输入用户名：admin，密码：secret，如下图所示：

弱口令验证

点击确认，就会发现登录成功了，当然这个页面做的比较简陋，右边都还没有设计好，如下图所示：

登录成功

对于扫描好的结果，我们可以点击保存按钮，取个名字点击保存就可以了，当我们想再次查看时，点击打开按钮，找到我们保存的文件就可以了，如下图所示：

保存/打开扫描结果

我们也可以对多次扫描的结果进行对比，点击左侧“...”按钮选择第一次扫描的结果，点击右侧“...”按钮选择第二次扫描的结果，点击中间的对比按钮进行比较，因为我们是一次扫描保存了两次，所以对比结果都一致，如下图所示：

结果对比

上边那个扫描结果导出的是“.wvs”格式的，只有这个软件才能够识别，AWVS也有生成报告的功能，如下图所示：

报告

点击“reporter”这个按钮就会生成报告，这里只是报告的预览，左侧有报告的目录，要想导出报告，可以点击导出按钮，选择相应的格式就可以导出了，在这之前我们可以点击左侧“setting”，对报告进行设置，如下图所示：

报告

点击“setting”后，我们可以设置报告的模板，包括要点报告模板、快速报告模板等，也可以设置报告的logo图片，还可以对报告的页面进行设置，这里就不多说了，如下图所示：

设置

这个工具主要就是漏洞扫描，其他功能我用的也不太多，有兴趣的朋友可以自己安装去试一试，今天我们就介绍到这里，以上就是AWVS漏洞扫描工具进行漏洞扫描的全部内容，大家学习到技术不要做违法的事，我们的目的是提高大家的渗透测试技术，法律的底线还是不要碰了，感谢阅读，欢迎关注@科技兴，了解更多科技尤其是网络安全方面的资讯和知识。