第二轮学习笔记:漏洞工具 -- AWVS

时间  2021-08-13
标签 web sql 数据库 安全 服务器 网络 app dom 编辑器 ide 栏目 HTML 繁體版
原文   原文链接

小时候一直不理解,父母为何能够那么早起床,长大后才明白,叫醒他们的不是闹钟,而是生活和责任,哪有什么岁月静好,只不过有人在替你负重前行。。。web

----  网易云热评sql

 

awvs是一款web漏洞扫描工具,经过网络爬虫测试网站安全,监测流行的web应用***,如跨站脚本,sql注入等数据库

 

1、主要功能模块安全

一、webscanner:整站扫描服务器

二、site crawler:网站爬虫网络

三、target finder:制定端口、网段扫描app

四、subdomain scanner:子域名扫描器dom

五、blind sql injector:盲注工具编辑器

六、http editor:http信息编辑器ide

七、http fuzzer:http模糊测试

八、http sniffer:http监听嗅探

九、authentication tester:web认证测试

十、web services scanner:网站服务扫描

十一、web services editor:网站服务手动分析

十二、application settings:应用程序的设置

1三、sacn settings:扫描设置

1四、sacnning profils:配置所用扫描脚本

 

2、新建扫描

一、点击New Scan,输入要扫描的ip

watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=

 

二、选择要扫描的漏洞,也能够选择默认Default,点击next

watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=

 

三、自动识别出网站的部分信息,点击next

watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=

 

四、假如网站有登录页面,选择下面的,输入帐号和密码,点击next

watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=

 

五、点击finish,开始扫描

watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=

 

2、配置软件

一、修改扫描的速度,快、中、慢

watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=

 

 

二、GHDB, Google hacking数据库检测,下面的语法是对网站的信息搜索的google语法。

watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=

 

三、设置代理

watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=

 

3、误报处理

一、找到误报的信息右击,选择mark alert.....

二、误报的信息会移动到下面

watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=

 

4、保存扫描的结果

一、点击report

watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=

二、弹出一个对话框,选择要保存的格式

watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=

 

5、网站爬虫,输入扫描地址,点击start

watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=

 

6、目标发现,输入扫描的范围和要扫描开放的端口,点击start

 

watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=

 

 

7、子域名查询,扫描出来的结果,能够右击,扫描该服务器是否存在漏洞

watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=

 

 

8、请求重放,扫描到存在漏洞的语句,右击,选择edit with http editor,而后就能够修改相关数据,进一步测试

watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=

 

watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=

 

9、去掉awvs的标识

一、打开burpsuit,设置过滤awvs的请求头Acunetix-Aspect: enabled

watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=

二、设置awvs的代理

watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=

watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=

这样扫描的时候就不会在http请求头中出现Acunetix-Aspect: enabled相关的内容了。

 

禁止非法,后果自负

欢迎关注公众号:web安全工具库

watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程