簡介
AWVS是自動化應用程序安全測試工具,支持windows平臺,主要用於掃描web應用程序上的安全問題,如SQL注入,XSS,目錄遍歷,命令注入等。這裏介紹AWVS10.5版本,讀者可以安裝最新版本,功能上沒有太大變化
功能使用
Web掃描器
AWVS的核心功能掃描器,掃描腳本,參數,時間等都可以定製。用於可以根據需要配置,最後掃描出來可以將掃描內容導出爲wvs格式 。
站點爬取
類似BurpSuite的Spider功能,當爬取文件和目錄時,可以配置要包含和排除的文件類型
目標查找
可以掃描出一個IP是否提供web服務,是否開啓80,443端口。功能比較雞肋,使用Nmap等掃描工具可以掃描出更加詳細的信息。
子域名掃描
根據DNS紀錄搜索目標域名的子域名
HTTP編輯器
類似BurpSuite的重放功能,將請求截取後,修改內容,然後重新發送
HTTP嗅探
類似BurpSuite的proxy代理功能,用於抓取本地瀏覽進行分析,需要設置代理端口
HTTP模糊測試
認證信息的爆破,功能與BurpSuite的Intruder類似,還有一些其他的小功能,讀者可以自行探索一下。
小結
AWVS作爲一款傻瓜式的web漏掃工具,功能使用比較簡單,但是功能十分強大,足以進行專業的漏洞掃描。主要的功能就是web掃描器。可以與Burp Suite一起使用,得到更加全面的漏洞信息。希望學習BurpSuite可以參考我的BurpSuite教程