AWVS操作說明@20140609_第1頁
AWVS操作說明@20140609_第2頁
AWVS操作說明@20140609_第3頁
AWVS操作說明@20140609_第4頁
AWVS操作說明@20140609_第5頁
已閱讀5頁,還剩6頁未讀 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、一、WVS介紹WVS(Web Vulnerability Scanner)是一個自動化的Web應用程序安全測試工具,它可以掃描任何可通過Web瀏覽器訪問的和遵循HTTP/HTTPS規(guī)則的Web站點和Web應用程序。適用于任何中小型和大型企業(yè)的內聯網、外延網和面向客戶、雇員、廠商和其它人員的Web網站。WVS如何工作:WVS擁有大量的自動化特性和手動工具,總體而言,它以下面的方式工作:1.它將會掃描整個網站,它通過跟蹤站點上的所有鏈接和robots.txt(如果有的話)而實現掃描。然后WVS就會映射出站點的結構并顯示每個文件的細節(jié)信息。2.在上述的發(fā)現階段或掃描過程之后,WVS就會自動地對所發(fā)現

2、的每一個頁面發(fā)動一系列的漏洞攻擊,這實質上是模擬一個黑客的攻擊過程。WVS分析每一個頁面中可以輸入數據的地方,進而嘗試所有的輸入組合。這是一個自動掃描階段。3.在它發(fā)現漏洞之后,WVS就會在“Alerts Node(警告節(jié)點)”中報告這些漏洞。每一個警告都包含著漏洞信息和如何修復漏洞的建議。4.在一次掃描完成之后,它會將結果保存為文件以備日后分析以及與以前的掃描相比較。使用報告工具,就可以創(chuàng)建一個專業(yè)的報告來總結這次掃描。審核漏洞WVS自動地檢查下面的漏洞和內容:·版本檢查,包括易受攻擊的Web服務器,易受攻擊的Web服務器技術·CGI測試,包括檢查Web服務器的問題,主要

3、是決定在服務器上是否啟用了危險的HTTP方法,例如PUT,TRACE,DELETE等等。·參數操縱:主要包括跨站腳本攻擊(XSS)、SQL注入攻擊、代碼執(zhí)行、目錄遍歷攻擊、文件入侵、腳本源代碼泄漏、CRLF注入、PHP代碼注入、XPath注入、LDAP注入、Cookie操縱、URL重定向、應用程序錯誤消息等。·多請求參數操縱:主要是Blind SQL / XPath注入攻擊·文件檢查:檢查備份文件或目錄,查找常見的文件(如日志文件、應用程序蹤跡等),以及URL中的跨站腳本攻擊,還要檢查腳本錯誤等。·目錄檢查,主要查看常見的文件,發(fā)現敏感的文件和目錄,發(fā)現

4、路徑中的跨站腳本攻擊等。·Web應用程序:檢查特定Web應用程序的已知漏洞的大型數據庫,例如論壇、Web入口、CMS系統(tǒng)、電子商務應用程序和PHP庫等。·文本搜索:目錄列表、源代碼揭示、檢查電子郵件地址、微軟Office中可能的敏感信息、錯誤消息等。·GHDB Google攻擊數據庫:可以檢查數據庫中1400多條GHDB搜索項目。·Web服務:主要是參數處理,其中包括SQL注入/Blind SQL注入(即盲注攻擊)、代碼執(zhí)行、XPath注入、應用程序錯誤消息等。使用該軟件所提供的手動工具,還可以執(zhí)行其它的漏洞測試,包括輸入合法檢查、驗證攻擊、緩沖區(qū)溢出等

5、。二、WVS安裝步驟1)先安裝2013_09_04_01_webvulnscan9.exe,安裝完成2)把【Acunetix Web Vulnerability Scanner 9.x Consultant Edition KeyGen By HmilyLCG.exe】放到【2013_09_04_01_webvulnscan9.exe】安裝目錄下3)安裝完成后關閉程序打開破解補丁,雙擊【Acunetix Web Vulnerability Scanner 9.x Consultant Edition KeyGen By HmilyLCG.exe】,點擊【pritch】后可正常注冊了,注冊后支持

6、正常升級4)打開安裝成功的【Acunetix Web Vulnerability Scanner 9】,注冊成功后,進行掃描三、WVS掃描步驟步驟1.設置網絡單擊菜單Configuration>Scan Settings進入應用設置窗口,單擊“LANSettins”按鈕進入代理設置窗口。如果你的網絡設置了代理,請選擇對應的代理方式。步驟2.確定掃描目標1.單擊菜單File>New>NewWebsiteScan或者單擊工具欄上的“NewScan”按鈕啟動掃描向導2.選擇“Scanssinglewebsite”選項,在“WebsiteURL”中輸入需要掃描的網站。這里輸入的網址是

7、:掃描選項:Ø Scansinglewebsite-掃描單一網站,如Ø Scanusingsavedcrawlingresults對之前網站的爬行結果(文件形式存儲)進行分析,不用重新對網站進行爬行Ø ScanListofWebsites-掃描存儲在文本文件中的網站列表,AcunetixWVS可以同時掃描20到30個網站Ø ScanRangeofComputers掃描特定IP地址段的所有網站步驟3.確定掃描策略步驟4.確定掃描模式點擊【Customize】,進入自定義頁面,選擇掃描模式為【Extensive】,點擊【OK】:Quick在這個模式下,只測試參數選項的第一個參數。ØHeuristic測試所有的參數。Extensive測試所有的參數和參數組合。步驟5.確定目標掃描選項AcunetixWVS自動識別目標網站的操作系統(tǒng)、Web服務器、根路徑等基本信息。選擇“Opttimizeforfollowingtechnologies”選項將進一步優(yōu)化掃描速度。步驟6.

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論