很多渗透测试中用网站漏洞自动扫描器进行前期扫描的比较常见的就是AWVS,而它是一
款自动的Web漏洞扫描工具。它通过跟踪网站上的所有链接来分析整个网站,然后对网站的
每个部分进行有针对性的检测。AWVS具有内置的漏洞评估和漏洞管理功能,可以快速有效
地保护网站和Web应用的安全,并且可以轻松管理检测到的漏洞。
awvsawv的组成。AWVS的主要组件可以分为WebInterface、WebScanner、AcuSensor、
AcuMonitor和Reporter。1.网络接口.AWVS提供了一个易于使用的网络界面,允许多个用
户通过网络界面管理漏洞管理功能,包括AWVS。登录后,用户可以通过仪表板了解目标
资产的安全性,并可以从这里访问内置的。(1)配置扫描的目标,扫描后汇总显示每个目标
的漏洞。(2)根据严重性对检测到的漏洞进行分类。(3)配置扫描状态,实时查看扫描情况。
(4)根据目标扫描或漏洞生成报告。
AcuMonitor和Reporter。1.网络接口.AWVS提供了一个易于使用的网络界面,允许多个用
户通过网络界面管理漏洞管理功能,包括AWVS。登录后,用户可以通过仪表板了解目标
资产的安全性,并可以从这里访问内置的。(1)配置扫描的目标,扫描后汇总显示每个目标
的漏洞。(2)根据严重性对检测到的漏洞进行分类。(3)配置扫描状态,实时查看扫描情况。
(4)根据目标扫描或漏洞生成报告。
2.网络扫描器.网站扫描通常包括两个阶段:(1)爬行:网站的结构是通过深度扫描、自动分析
和爬行构建的。爬行过程枚举所有文件、文件夹和输入。(2)扫描:通过模拟黑客攻击,对目
标进行Web漏洞检查。扫描结果包括目标的所有漏洞的详细信息。
和爬行构建的。爬行过程枚举所有文件、文件夹和输入。(2)扫描:通过模拟黑客攻击,对目
标进行Web漏洞检查。扫描结果包括目标的所有漏洞的详细信息。
3.触觉传感器.使用AcuSensor,可以执行交互式应用安全测试(IAST),也称为灰盒测试。
当AcuSensor启用时,传感器将检索所有文件,包括那些无法通过网站链接访问的文件,
然后扫描仪将模拟黑客来测试每个页面,并分析每个页面上可以输入数据的位置。
当AcuSensor启用时,传感器将检索所有文件,包括那些无法通过网站链接访问的文件,
然后扫描仪将模拟黑客来测试每个页面,并分析每个页面上可以输入数据的位置。
4.AcuMonitor.常规的Web应用测试非常简单。扫描仪向目标发送有效载荷,目标做出响
应。收到目标的响应后,扫描器分析响应,然后根据响应发出警告。但是,在测试过程
中,一些漏洞没有向扫描器提供任何响应。在这种情况下,传统的网络应用程序测试不
起作用。AcuMonitor可以检测在测试过程中不会对扫描仪做出响应的漏洞,如XXE、S
SRF、BlindXSS等。
应。收到目标的响应后,扫描器分析响应,然后根据响应发出警告。但是,在测试过程
中,一些漏洞没有向扫描器提供任何响应。在这种情况下,传统的网络应用程序测试不
起作用。AcuMonitor可以检测在测试过程中不会对扫描仪做出响应的漏洞,如XXE、S
SRF、BlindXSS等。
