写帖真心不易,特别是写一篇好贴,所以请各位好好看~
漏洞扫描器大概描叙~
漏洞扫描器可以快速帮助我们发现漏洞,例如,SQL注入,XSS攻击,CSRF攻击等...
在渗透过程中,一个好的漏洞扫描器在渗透测试中是至关重要的,可以说是渗透成功或者失败的关键点。
一款优秀的扫描器会使渗透更加轻松,但有些漏洞,"神器"也是扫不出来的,比如:逻辑漏洞、一些较隐蔽的XSS和SQL注入。所以,渗透的时候,神器一般都是需要人员来配合使用的。
Awvs(wvs)简介:
AWVS是一个自动化的Web安全测试工具,它可以扫描Web站点和Web应用
AWVS == WVS
AWVS可以**快速扫描**SQL注入,XSS攻击,目录遍历,文件入侵,PHP代码注入、代码执行等等
AWVS的特点:
1. SQL注入和跨站脚本测试
2. 高级渗透工具,入HTTP编辑器与HTTP的Fuzzer
3. 端口扫描
4. 广泛的报告设施
5. 具有AcuSensor(基于交互式应用安全检测(IAST)技术的Web漏洞扫描功能,目前支持.net、php两种语言站点,根据目标站点可以分别配置生成agent端)技术
6. 履带式智能检测服务器的类型和应用语言
7. 其他... ...
开始使用AWVS:
创建项目:
1. 点开我们的New Scan来创建一个扫描的项目:
(我输入了本地搭建的dvwa来扫描)
2. 选择我们攻击模块
还有(qwq):
(还有几个选项就不继续介绍了,继续下一步~)
3. 目标信息
4. 登录选项
账户密码填写:
and:
然后将我们保存好的导入到这个界面:
然后AWVS就会开始扫描:
左侧栏目:
- 我们来扫描一下我自己搭建的DVWA平台:
(可以看到这里扫描到了很多漏洞处。而且速度相当的快)
工具栏那里的下拉框一截图就打不开,就不讲工具栏的了,自行百度~~
- 爬取网站:
- 子域名扫描:
- 扫描开放的端口和服务:
其实这个都是差不多的,那么我们直接来讲扫描结果分析吧
扫描结果分析:
我们打开一个扫描到的漏洞:
访问以下这个信息泄露的URL:
扫描后的结果,如何保存下来,方便下次的操作呢,我们可以这样:
那我们该如何生成报告呢?,看下图:
步骤1:
步骤2,这报告文档全是英文,此时就该展示你那xx级英语了:
步骤3,导出报告到本地:
好了各位,内容太多,我写不下去了。。。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论