1. 登录AWVS,选择targets
2. 点击targets,选择Add Target
3. 输入待扫描的路径(待扫描的路径为可登陆的地址)
点击右下角的Add Target
4.选择Site Login下的**Use pre-recorded login sequence,点击Launch Login Sequence Recorder
5. 选择启动应用
6. 选择一个用户进行登录
7. 登录进系统后,每个功能尽量都点一下,功能点击完成后,点击右下角的Finish
9. 再次返回到之前的页面,点击导入文件按钮,导入0828.lsr
10. save保存一下后,点击scan开始扫描
11. Scan Type选择Full Scan,Report选择Affected Items,Schedule选择Instant
12. 点击create scan,等待扫描结果,扫描结果如下
在我已有的经验中,扫描结果只需要关注如下几类问题:
1. AWVS扫描出现User credentials are sent in clear text(用户凭证信息泄露)表示存在明文传输漏洞。
2. AWVS扫描出现Host Head Attack,表明存在CSRF漏洞
3. 使用AWVS扫描出来Slow Http Denial of Service Attack 说明存在DDos攻击漏洞。