WEB扫描工具Acunetix--web--vulnerality-scanner使用说明.docVIP

Acunetix web vulnerality scanner 从这里 /web-scanners.html 可以找到很多流行的WEB安全工具。 安全测试方面的书籍《web入侵安全测试与对策》、《软件安全测试艺术》也有相当多好工具推介 概览 是一个商业工具，但有一个试用版发行。 在扫描方面可以和APPSCAN 相媲美 ? 但在漏洞修复建议方面，还是和APPSCAN 有差距 工具分为 4大块。简要概述我们最相关的3部分 web scanner： 扫描器，默认情况产生10个线程的爬虫 工具箱： 集成很多好用的工具，比如 http fuzzer 配置： 呵呵，只要懂英文就看得明白 启动扫描 点击new scan 一路默认下去 扫描结果分析 一露脸就是显著的告警 没有密码登录时，扫 会发现存在跨站脚本攻击。 我们把眼光聚焦在 点击启动 http editor 可以看到UID已经被更改成功 再找一个GET 请求的 尝试在浏览器输入 /search.aspx?txtSearch=ScRiPt%20%0a%0dalert(1433860212)%3B/ScRiPt Acunetix自身有很好的编解码工具，可以看到URL decode的结果 url decode 结果 ScRiPtalert(1433860212);/ScRiPt Httpeditor 编辑HTTP 头以及数据 Httpsniffer 嗅探器。解决网络通信包 http fuzzer 生成一组定制的数据 配置 http tuning的参数极大影响系统性能，要很加注意：） Acunetix工具结果存放地可以更改。默认Access. 很不幸，偶电脑没有装access 数据引擎。