安全巡检-AWVS遇到的坑

  最近在给我们测试人员做扫描工具巡检的时候发现，原来我们的测试人员使用的AWVS还是比较老的扫描版本，可能很多小伙伴使用的应该也都会是之前的老版本吧，毕竟这样省事一些。但其实最新的版本中的漏洞也会全面，测试人员在日常扫描的过程中也会更好。于是我就想部署个最新的版本吧，没想到遇到的坑还是不少。

AWVS，全称Acunetix Web Vulnerability Scanner，是一款知名的自动化网络漏洞扫描工具。它通过网络爬虫测试网站安全，检测流行的Web应用攻击，如跨站脚本、SQL注入等。

AWVS的主要功能及特点包括：

1. 扫描能力强大：可以扫描任何可通过Web浏览器访问的、遵循HTTP/HTTPS规则的Web站点和Web应用程序。
2. 检测漏洞类型丰富：可以检测包括SQL注入、XSS跨站脚本攻击、目录遍历、命令注入等多种安全漏洞。
3. 定制扫描：扫描脚本、参数、时间等都可以定制，用户可以根据需要配置扫描任务。
4. 扫描结果详细：扫描完成后，可以将扫描内容导出为特定格式，供用户详细分析。
5. 易于使用：虽然AWVS功能强大，但使用起来相对简单，即使是初学者也可以快速上手。

此外，AWVS还提供了自动化客户端脚本分析器，允许对Ajax和Web 2.0应用程序进行安全性测试，进一步增强了其安全测试能力。

总的来说，AWVS是一款功能强大、易于使用的自动化网络漏洞扫描工具，适用于各种规模的企业的内联网、外延网和面向客户、雇员、厂商和其它人员的Web网站。通过它，用户可以轻松发现并修复网站的安全漏洞，提高网站的安全性。

我部署的版本为：acunetix_24.1.240111130.exe

坑1：网上下载的有些文件内容缺失，也有可能是我的环境问题吧。导致安装完成后，执行扫描时遇到扫描几次又没有权限的场景。

下载的版本中有存在crack_Installer.bat文件的后续就可以了。

坑2：安装的过程，没有选择IP，导致安装完成后，只能输入

https://localhost:3343/app/login 进行登录。

因为我需要交付给测试人员使用，所以他们需要访问IP进行登录，例如：https://10.10.12.12:3343/app/login.那么在这里需要注意下。

坑3：安装完成后，再给测试人员分配账户权限的时候，发现只能分配系统管理员，其他的权限都会导致不能扫描，这个需要注意下。

后面就可以安心的交付给测试人员了。

少走弯路，多多学习。

原文始发于微信公众号（伤心的金毛）：安全巡检-AWVS遇到的坑