AWVS 也有一個插樁模式,我們也來試用一下,先安裝好awvs
# pull 拉取下載鏡像
docker pull secfa/docker-awvs
# 將Docker的3443端口映射到物理機的 13443端口
docker run -it -d -p 13443:3443 secfa/docker-awvs
# 容器的相關信息
awvs13 username: [email protected]
awvs13 password: Admin123
AWVS版本:13.0.200217097
1.要在新建或者對老的目標開啓 AcuSensor 如下兩張圖
圖1 未開啓AcuSensor
圖2 開啓AcuSensor,參照圖中所示,要使用插樁掃描必須保持AcuSensor爲選中狀態
2.開啓後我們下載樁點和切面jar包,下圖按鈕就是樁點下載地址
切面jar包下載的地址是:
https://repo1.maven.org/maven2/org/aspectj/aspectjweaver/1.9.5/aspectjweaver-1.9.5.jar
3.把這兩個jar包放到tomcat的lib目錄中,別忘了要重命名切面jar包爲aspectjweaver.jar
4.在catalina.sh中cygwin=false這行上面加入以下代碼(請依照實際情況修正jar包的路徑)
JAVA_OPTS="$JAVA_OPTS -javaagent:/home/test/apache-tomcat-8.5.61/lib/aspectjweaver.jar -Dacusensor.debug.log=ON"
這樣啓動的java進程就是可以執行插樁掃描的應用系統,然後就是正常的開始掃描就可以了
5.帶有
圖標的就是插樁測試出來的結果,請參照下圖進行對比
以及 (AcuSensor)文字標識的都是插樁掃描出來的結果,很明顯插樁掃描出來的結果更爲詳細,甚至能給出執行的sql語句
圖1
圖2
其他:springboot的部署可以參照 官方鏈接,可以要求架構師進行部署swagger,進行統一的插樁掃描,發現系統隱患
FROM openjdk:8-jdk-alpine
COPY AcuSensor.jar AcuSensor.jar
COPY aspectjweaver.jar aspectjweaver.jar
COPY myspringapp.jar myspringapp.jar
EXPOSE 8080
CMD java -javaagent:aspectjweaver.jar -Dacusensor.debug.log=ON -Dloader.path=AcuSensor.jar -cp myspringapp.jar org.springframework.boot.loader.PropertiesLauncher
總結:
awvs相對netsparker配置方便,適合對burp等抓包工具的日誌文件或swagger的接口列表文件進行檢測
禁止轉載
謝謝