Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞。

AWVS是一款Web漏洞扫描工具,通过网络爬虫测试网站安全,检测流行的Web应用攻击,如跨站脚本、sql 注入等。据统计,75% 的互联网攻击目标是基于Web的应用程序。

一. 安装下载

我这里提供了一个14.7的破解版

链接:https://pan.quark.cn/s/52a2ae799ac8

提取码:jFHR

里面有具体的破解说明,如果看不懂的话这里还有视频

Awvs14.7安装与破解_哔哩哔哩_bilibili

具体的看这些就够了。

二. AWVS的使用

首先我们要先确保我们的AWVS服务是开开的

win+R调出运行,然后输入services.msc进入服务

找到这两个服务,确保他们是打开的

我们按照视频安装后,点击桌面图标就能进去了。输入你设置的账号密码进入系统

主菜单共有5个模块,分别为Dashboard、Targets、Vulnerabilities、Scans、Reports和Discovery。不过Discovery没用过,所以这里不介绍

  • Dashboard: 仪表盘,显示扫描过的网站的漏洞信息
  • Targets: 目标网站,需要被扫描的网站
  • Vulnerabilities: 漏洞,显示所有被扫描出来的网站漏洞
  • Scans:扫描目标站点,从Target里面选择目标站点进行扫描
  • Reports: 漏洞扫描完成后生成的报告

设置菜单共有8个模块

  • Users: 用户,添加网站的使用者、新增用户身份验证、用户登录会话和锁定设置
  • Scan Types: 扫描类型,可根据需要勾选完全扫描、高风险漏洞、跨站点脚本漏洞、SQL 注入漏洞、弱密码、仅爬网、恶意软件扫描
  • Network Scanner: 网络扫描仪,配置网络信息包括地址、用户名、密码、端口、协议
  • Issue Trackers: 问题跟踪器,可配置问题跟踪平台如github、gitlab、JIRA等
  • WAFs: 防火墙,不用管他
  • Email Settings:邮件设置,配置邮件发送信息
  • Engines:引擎,引擎安装删除禁用设置
  • Excluded Hours:扫描时间设置,可设置空闲时间扫描
  • Proxy Settings:代理设置,设置代理服务器信息
  • General Settings: 基本设置

1. Target

首先我们来看Target (目标)

这里有两个功能,一个是添加目标,一个是目标组

(1) Add Targets

我们在这里可以添加多个目标,具体操作看下图所展示的

如果你的目标设置成了IP地址或域名,那么目标就是整个IP或域名下的所有文件,如果你设置了目录路径的话,目标就是该目录下的文件。

一定要记得点击save保存。

(2) Target Groups

这里可以建立目标组,可以更好的管理目标

点击这个Add a new Target Groups

然后填写组名和组描述,设置好了之后点击右上角的Save进行保存

之后我们需要把目标添加进组,点击Edit Group Membership

然后他就会左右分成两拦,目标在右面,选择目标添加进组

然后在这里,你可以对整个组进行扫描,自己看看就行了,不放图了。

2. 扫描设置

我们选择一个目标开始扫描,我这里扫的是DVWA靶场

这里让你选择扫描的设置,设置如下。

  • Scan Profile (默认扫描配置文件)

    • Full Scan: 完全扫描
    • High Risk: 高风险漏洞
    • High / Medium Risk: 高、中风险扫描
    • Cross-site Scripting: XSS漏洞
    • SQL Injection: SQL注入漏洞
    • Weak Passwords: 弱口令检测
    • Crawl Only: 只爬虫
    • Malware Scan: 恶意软件扫描

  • Report (报告设置)

    • Affected Items: 受影响项目
    • Comprehensive (new): 综合 (新)
    • Developer: 开发者
    • Executive Summary: 执行摘要
    • Quick: 快速报告
    • CWE / SANS Top 25: SANS (SysAdmin, Audit, Network, Security) 研究所是美国一家信息安全培训与认证机构
    • DISA STIG: DISA STIG 是指提供技术指南 (STIG — 安全技术实施指南) 的组织 (DISA — 国防信息系统局)
    • HIPAA:HIPAA标准
    • ISO 27001: 国际标准
    • NIST SP 800-53: 联邦信息系统标准
    • OWASP Top 10 2013: 开放式Web应用程序安全项目 2013标准
    • OWASP Top 10 2017: 开放式Web应用程序安全项目 2017标准
    • PCI DSS 3.2: 即支付卡行业数据安全标准
    • Sarbanes Oxley: 萨班斯法案标准
    • WASC Threat Classification: WASC 组织标准

  • Schedule (计划)

    • Instant: 立刻扫描
    • Future Scan: 未来扫描
    • Recurrent Scan: 重复扫描

我们最常用的报告类型是这几个

  • Executive Summary:执行摘要 给公司大领导看,只关注整体情况,不关注具体细节
  • Comprehensive:一般给QA和产品经理看
  • Developer: 给开发人员看
  • OWASP Top 10 2017: 行业报告的代表
  • WASC Threat Classification: 行业报告的代表

我们正常选择Full Scan、Developer、Instant就行了。

然后点击创建扫描

3. Dashboard

我们上一步已经创建了扫描,我们可以在Dashboard查看扫描信息

这里其实就没啥好讲的了。

4. Scans

我们可以在这里新建扫描,查看扫描情况

我们可以看到,有一个扫描任务在运行。点击目标,可以看到当前的目标进度

等待扫描完成即可。

旁边还有一些功能,简单,自己看看就行

5. Vulnerabilities

这里可以看到所有扫描出来的漏洞

点击可以进行查看,比如我们点击SQL漏洞

这里有漏洞的地点,我们再点击一次,可以查看漏洞

6. Reports

这里可以看到我们扫描生成的报告

可以用PDF或者HTML下载,这里我下载为HTML

可以看到哈,非常的专业。