34_Web漏洞扫描工具、常见Web漏洞扫描工具、AWVS的部署与使用、 渗透测试执行流程、AWVS破解

Web漏洞扫描工具

Web漏洞扫描是在Web信息收集的基础上，进行更进一步的自动化的安全评估、漏洞挖掘、渗透测试

Web漏洞扫描会出现漏报，需要手工结合使用

常见Web漏洞扫描工具

• AWVS、OWASP ZAP、Arachni、Nitko、Paros...

 渗透测试执行流程：

AWVS ( Acunetix Web Vulnerability Scanner)

• 一个自动化的Web应用程序安全测试工具
• 可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序
• 官网 : Acunetix | Web Application and API Security Scanner

 

AWVS下载链接：https://pan.baidu.com/s/1lqFMjoqQpIl4DA-Amb00pA?pwd=9LJY 
提取码：9LJY

AWVS的部署与使用

步骤一：复制acunetix_13文件夹到kali的/root目录

将acunetix_13.zip解压之后，将整个文件夹复制到kali 2021系统的/root目录，如图-1所示。

步骤二：运行脚本及相关配置

1）首先cd到/root/acunetix_13/目录，并使用ls查看当前目录中的文件。

┌──(root💀kali)-[~]
└─# cd acunetix_13 

┌──(root💀kali)-[~/acunetix_13]
└─# ls
acunetix_13.0.200217097_x64_.sh  license_info.json  wvsc

 

2）运行脚本及根据向导进行配置

运行脚本，进入配置向导。

┌──(root💀kali)-[~/acunetix_13]
└─# bash  acunetix_13.0.200217097_x64_.sh
Acunetix Installer Version: v_200217097, Copyright (c) Acunetix
------------------------------------------------------------
Checking os...
Checking for dependencies...
Please read the following License Agreement. You must accept the terms of this
agreement before continuing with the installation.
press ENTER to continue
>>>

按回车进入阅读协议部分，可以按 q 键直接跳过阅读

Product: Acunetix on-premises web vulnerability scanner and vulnerability man
agement solution
END-USER LICENSE AGREEMENT
Definitions
"End-User License Agreement" ("EULA") or "License" means this End-User Licens
e Agreement.
。。。
"Product" means the Acunetix on-premises web vulnerability scanner and vulner
--More-- 

输入“yes”接受许可协议

Accept the license terms? [yes|no]
[no] >>> yes

开始配置主机名，可直接回车，使用默认主机名kali

Configuring hostname... 
Insert new hostname, or leave blank to use ubuntu 
    Hostname [kali]:     
    Using hostname kali

配置邮箱和密码，用于登录后台使用，邮箱设置为kali@tedu.cn，密码设置为admin@123（注意：密码在输入是不显示）。

Configuring the master user... 
    Email:kali@tedu.cn
    Password:
    Password again: 

Initializing file system...
Extracting files to /home/acunetix/.acunetix....

步骤三：复制相关文件到软件目录，进行覆盖破解

┌──(root💀kali)-[~/acunetix_13]
└─#  cp  wvsc  /home/acunetix/.acunetix/v_200217097/scanner/ 

┌──(root💀kali)-[~/acunetix_13]
└─#  cp  license_info.json  /home/acunetix/.acunetix/data/license/

步骤四：登录验证

使用kali火狐浏览器访问https://127.0.0.1:3443，输入邮箱和密码，如图-2所示。

图-2

点击“Login”登录，AVWS的web界面如图-3所示。

图-3

步骤五：添加扫描目标并对目标进行扫描

1）添加扫描目标

依次点击“Targets”-“Add Target”，输入Address，之后点击“Save”进行保存，如图-4所示。

2）保持默认，点击“Scan”进行扫描，如图-5所示。

图-5

3）选择扫描选项，保持默认，点击“Create Scan”，如图-6所示.

图-6

4)正在扫描目标网站，如图-7所示。

图-7

5)扫描完成，如图-8所示。

图-8

步骤六：查看扫描结果

点击“Vulnerabilities”,然后点击某一项，在右侧会显示该漏洞的描述，如图-9所示。