Web安全与防护 实训指南 2.2.2使用AWVS进行漏洞扫描.pdf

使用AWVS进行漏洞扫描

【实训目的】

1.认识并安装AWVS漏洞扫描器；

2.掌握AWVS漏洞扫描器的使用方法，利用其对目标系统进行扫描。

【实训原理】

AWVS（AcunetixWEBVulnerabilityScanner，有时也简称为WVS）是专门

针对WEB系统的扫描工具，类似的系统还有AppScan、BurpSuite等，采用其对

我们前期安装的DWVS系统进行扫描。

AWVS主要功能以及特点如下：

a)自动的客户端脚本分析器，允许对Ajax和Web2.0应用程序进行安全

性测试。

b)业内最先进且深入的SQL注入和跨站脚本测试

c)高级渗透测试工具，例如HTTPEditor和HTTPFuzzer

d)可视化宏记录器帮助您轻松测试web表格和受密码保护的区域

e)支持含有CAPTHCA的页面，单个开始指令和TwoFactor（双因素）验

证机制

f)丰富的报告功能，包括VISAPCI合规性报告

h)高速的多线程扫描器轻松检索成千上万个页面

i)智能爬行程序检测web服务器类型和应用程序语言

j)端口扫描web服务器并对在服务器上运行的网络服务执行安全检查。

【实训步骤】

步骤一、下载AWVS

自官方网站/product/standard/，可下载试用安装包，

下载试用安装包时，需要输入工作邮箱地址。

步骤二、安装AWVS

双击安装包就开始系统安装，按照系统提示一步步进行安装即可。在安装过

程中，会提示你创建管理用户帐号，这个管理员帐号是供你登录AWVS系统使

用，如下图所示：

图2-14AWVS管理员配置示意图

AWVS自11版本开始采用B/S架构，默认端口号为3443，在安装过程中也

可修改，如下图所示：

图2-15AWVS系统访问端口配置

安装完成之后，还需要激活才能使用，按照要求激活即可。

步骤三、使用AWVS对目标系统扫描

（1）登录AWVS。在桌面点击系统快捷方式或在浏览器URL输入：

https://ipaddress:3443，都可以进入登录界面。

图2-16AWVS系统登录界面

输入在安装过程中建立的用户账号和密码即可登录。如下图所示：

图2-17AWVS系统工作界面

左侧是导航栏，右侧是导航栏对应的内容。

（2）添加扫描目标。

点击左侧的targets，然后再点击AddTarget，就会出现如下添加目标网站的

界面。

图2-18AWVS系统添加扫描目标

在该界面输入要进行测试的目标网站，此处我们添加的是本地的DVWA系

统，填完之后点击AddTarget，即可完成添加扫描目标。

有时候，网站需要登录，如DVWA系统，此时，就需要打开SiteLogin选

项，如下图所示：

图2-19AWVS系统目标登录设置

其中有trytoauto-loginintothesite和Usepre-recordedloginsequence两个选

项。在trytoauto-loginintothesite中，可直接输入登录网站所需的账户名和密

码，然后AWVS用自动探测技术进行识别，不需要手工录入登录过程。如下图

所示：

图2-20AWVS系统trytoauto-loginintothesite方式登录设置

在Usepre-recordedloginsequence中，需要先点击LaunchLoginSequence

Recorder录制登录视频，然后保存为文件，再在LoginSequence处打开