在安全领域,扫描发现web层面的漏洞,AWVS是最常用的工具,其对web应用层漏洞的扫描效果较好,可以扫描的漏洞有SQL注入、XSS、常见弱口令、SSRF、CSRF、目录遍历等。以下对AWVS的安装及破解方法。 当然,AWVS功能较为强大,以下只介绍web漏洞扫描功能。
工具/原料
电脑 AWVS
方法/步骤
1
双击打开软件
2
点击左上角的 New Scan
3
配置扫描目标后点击Next一般而言,通过nmap扫描后可能发现多个http/https端口,那么每个端口都需要使用awvs建立扫描。以上图为例,上图写明的扫描站点是www.baidu.com,也即http://www.baidu.com:80/。如果在平时漏洞审查中,检测到了多个端口,那么应该建立多个扫描。多IP多端口的批量扫描可以通过http://localhost:8183/ 批量创建
4
这里举例用单个网站扫描。填好扫描目标,然后点击next,接下来选择default默认设置就可以。
5
next后,会出现你刚设置好的概览,大概看下没有问题就next,有问题返回重新设置。
6
默认不登录扫描,如果需要登录扫描需填写用户名和密码,点击Next。
7
完成配置,点击Finish,开始执行扫描 。注意会扫描发现页面链接,如果勾选这些链接,会将这些链接同时扫描,如果链接的是外面的网站,会扩大范围的,所以没有特殊需求的话,最好就不要勾选这些链接了。
9
扫描完成后的结果。扫描结果分高、中、低危。一般关注下高危漏洞和中危漏洞即可。
注意事项
1
一定要记住,扫描的时候不要拿互联网上的,任何不是自己运维的网站都是不允许的。
2
建议学习网络安全的人员,看看网络安全法。
上一篇:potplayer怎么倍速播放