AWVS原理是基于漏洞匹配方法,通过网络爬虫测试你的网站安全,检测流行安全漏洞。
AWVS可以通过
SQL注入、XSS、目录遍历、代码执行等漏洞来审核web应用程序的安全性并输出扫描报告。相对于手动测试的复杂和耗时,它能快速的发现漏洞来提高效率和漏洞覆盖面。
安装与启动:
这个AWVS并不是kali自带的,需要使用如下指令下载并且安装:
sudo chmod 777 acunetix_trial.sh patch_awvs sudo ./acunetix_trial.sh
安装完成后,可以用如下指令开启服务:
service acunetix_trial start
可以用如下指令查看服务状态:
service acunetix_trial status
如果状态为绿色的 active(running)表示开启。
之后,用浏览器打开awvs的客户端 (13443为linux下awvs的默认端口)
https://192.168.x.x:13443
扫描测试流程如下:
一、添加目标:填写目标IP或目标地址;
二、设置扫描选项:扫描速度Scan Speed(越慢则越仔细)、站点是否需要登陆Site Login、针对不同Web站点的扫描插件AcuSensor(能帮助搜集到更多信息)等;
三、设置扫描类型和扫描时间;
四、保存设置,点击Create Scan开始扫描;
五、找到扫描功能模块,可以看到扫描出的基本信息,如web服务器版本,操作系统,脚本语言等;
六、找到漏洞模块,可以看到扫描的结果,找到的漏洞可能存在误报,因此需要进一步的验证;
七、漏洞扫描报告方便整理扫描信息,验证漏洞。
补充:忘记密码怎么办:
不需要重新安装,可以进入kali的/home/acunetix/.acunetix_trial目录下,运行change_credentials.sh,可以直接重置密码。