AWVS安全扫描工具使用教程

介绍

Acunetix Web Vulnerability Scanner（简称AWVS）是一款Web网络漏洞扫描工具，它通过网络爬虫测试网站安全，检测流行安全漏洞。本文将讲解一些简单、基础的站点扫描功能。

功能与特点

自动的客户端脚本分析器，允许对 Ajax 和 Web 2.0 应用程序进行安全性测试。业内最先进且深入的 SQL 注入和跨站脚本测试。高级渗透测试工具，例如 HTTP Editor 和 HTTP Fuzzer可视化宏记录器帮助您轻松测试 web 表格和受密码保护的区域。支持含有 CAPTHCA 的页面，单个开始指令和 Two Factor（双因素）验证机制。丰富的报告功能，包括 VISA PCI 依从性报告。高速的多线程扫描器轻松检索成千上万个页面。智能爬行程序检测 web 服务器类型和应用程序语言。Acunetix 检索并分析网站，包括 flash 内容、SOAP 和 AJAX。端口扫描 web 服务器并对在服务器上运行的网络服务执行安全检查。可导出网站漏洞文件。

使用教程

01

在AWVS菜单栏、工具栏简介

菜单栏简介

File——New——Web Site Scan ：新建一次网站扫描

File——New——Web Site Crawl：新建一次网站爬行

File——New——Web Services Scan：新建一个WSDL扫描

Load Scan Results：加载一个扫描结果

Sava Scan Results：保存一个扫描结果

Exit：退出程序

Tools：参考主要操作区域的tools

Configuration——Application Settings：程序设置

Configuration——Scan Settings：扫描设置

Configuration——Scanning Profiles：侧重扫描的设置

Help——Check for Updates：检查更新

Help——Application Directories——Data Directory：数据目录

Help——Application Directories——User Directory：用户目录

Help——Application Directories——Scheduler Sava Directory：计划任务保存目录

Help——Schedule Wen Interface：打开WEB形式计划任务扫描处

Help——Update License：更新AWVS的许可信息

Help——Acunetix Support——User Mannul(html)：用户HTML版手册

Help——Acunetix Support——User Mannul(PDF)：用户PDF版手册

Help——Acunetix Support——Acunetix home page：AWVS官网

Help——Acunetix Support——HTTP Status：HTTP状态码简介

工具栏简介

从左到右分别是：

新建扫描——网站扫描——网站爬行——目标查找——目标探测——子域名扫描——SQL盲注——HTTP编辑——HTTP嗅探——HTTP Fuzzer——认证测试——结果对比——WSDL扫描——WSDL编辑测试——程序设置——扫描设置——侧重扫描设置——计划任务——报告

02

AWVS站点扫描和常用工具

站点扫描Web Scanner

点击New Scan ，输入一个目标url,比如：http://testhtml5.vulnweb.com

下一步，选择扫描模板，一般选“Default”即可

下一步，软件自动识别目标站点的信息，也可手动修改

点击“下一步”，如果网站需要登录，就在此处添加登录信息

下一步，再次进行信息确认，无误点击“finish”即可开始扫描

点击finish，开始扫描

扫描结束后，点击保存按钮，可将扫描结果保存到本地

Site Crawler

点击Start对所输入的URL进行爬取，但是有的页面需要登录，不登录有些文件爬不到，就可以选择可以登录的login sequence进行登录,爬网结果可以保存为cwl文件，以便后续站点扫描使用。

Target Finder

可以指定IP地址段进行端口扫描（类似于Nmap），可以用与信息收集。进行了端口扫描后会进行服务发现，得到端口上对应的服务。

学习网络安全技术的方法无非三种:

第一种是报网络安全专业，现在叫网络空间安全专业，主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习，多媒体技术，信息检索、舆情分析等。

第二种是自学，就是在网上找资源、找教程，或者是想办法认识一-些大佬，抱紧大腿，不过这种方法很耗时间，而且学习没有规划，可能很长一段时间感觉自己没有进步，容易劝退。

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

第三种就是去找培训。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

（都打包成一块的了，不能一一展开，总共300多集）

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享