UYDE'eo 发表于 2016-11-3 18:35

申请会员ID:Lynnlinlin

申请ID:Lynnlinlin
个人邮箱:758025801@qq.com
原创技术文章:(曾在CSDN中发表过:http://blog.csdn.net/lynnlinlin/article/details/52947526)
AWVS基本用法
什么是AWVSAcunetix Web Vulnerability Scanner(简称AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞,现已更新到10。(下面用的是AWVS9)AWVS用法比较简单,先对工具一个一个来说明~工具Site Crawlerhttp://img.blog.csdn.net/20161028192818972
点击Start对所输入的URL进行爬取,但是有的页面需要登录,不登录有些文件爬不到,就可以选择可以登录的login sequence进行登录(login sequence在处Application Settings处详细说明),爬网结果可以保存为cwl文件,以便后续站点扫描使用。Target Finderhttp://img.blog.csdn.net/20161027160320606
可以指定IP地址段进行端口扫描(类似于Nmap),可以用与信息收集。
进行了端口扫描后会进行服务发现,得到端口上对应的服务。Subdomain Scanner用DNS进行域名解析,找域名下的子域及其主机名(用于信息收集)
可选择使用操作系统默认配置的DNS服务器或自定义的一个DNS服务器(谷歌:8.8.8.8)
http://img.blog.csdn.net/20161027162618578Blind SQL Injectorhttp://img.blog.csdn.net/20161027163506728
在相应参数位置按+添加注入点,让AWVS进行注入探测,可以dump有sql漏洞的数据库内容。HTTP Editorhttp://img.blog.csdn.net/20161027164312669
和BP repeater类似,可以进行手动漏洞挖掘探测。
Enocoder tool中可以进行各种加密解密。HTTP Sniffer和BP proxy类似,首先要设置代{过}{滤}理(Application Settings->HTTP Sniffer),截取数据包,修改数据包提交或者丢弃。
利用代{过}{滤}理功能进行手动爬网(保存为slg文件,在Site Crawler页面点击Build structure from HTTP sniffer log),得到自动爬网爬取不到的文件。HTTP Fuzzerhttp://img.blog.csdn.net/20161027165747051
类似于BP intruder,进行暴力破解,点击+选择类型,点击insert插入
注意:插入字母的时候选取字母的范围填写的是字母对应的ASCII码。Authentication Testerhttp://img.blog.csdn.net/20161028193446746
认证测试,用于尝试破解破解账户密码。
基于表单的认证方法要点击Select 选择表单的哪一部分是用户名,那一部分是密码。Compare Results可以用不同用户登录后结果进行比较,和BP Compare类似。ConfigurationApplication Settings程序本身的设置
http://img.blog.csdn.net/20161028194800733
Client Certifications:
有些Web Application需要客户端证书才能进行扫描。
Login Sequence Manger 类似于把登陆过程进行录像,下面进行制作Login Sequence :
1、首先输入一个要进行登录的URL,点击Next
2、类似于使用浏览器,输入用户名和密码:
http://img.blog.csdn.net/20161028200742086
3、点击登录过程中的限制(如退出链接常需要限制);
4、输入验证登录成功或失败的标志;
5、Review
(AVWS站点扫描中可以选择login sequence、在Site Crawling处也可以选择login sequence)Scan Settingshttp://img.blog.csdn.net/20161028194318277
Google hacking database基于搜索引擎的信息收集:谷歌黑客数据库,但需要设置代{过}{滤}理(LAN Settings)。Web servicesAWVS对Web Service也可以进行扫描。对于AWVS最常用的应该就是站点扫描了站点扫描1、点击New Scan
http://img.blog.csdn.net/20161028193818213
如上述Site Crawler保存的cwl文件可以用在这里。http://img.blog.csdn.net/201610281940386132、点击扫描配置就是Scan Setting页面3、发现目标服务器基本信息4、是否需要登录,可以使用login sequence5、finish,扫描结果可以保存为wvs文件,还能把结果制作成报表http://img.blog.csdn.net/20161029092250034
扫描的结果能看到发现漏洞所用的payload,对应的HTTP头信息、HTML、可发送到HTTP Editor中等……AWVS基本用法大概就是这样了~
CSDN登录界面:

Hmily 发表于 2016-11-5 19:36

【开放注册公告】吾爱破解论坛2016年11月11日光棍节开放注册公告
http://www.52pojie.cn/thread-548585-1-1.html
(出处: 吾爱破解论坛)

还有几天开放注册,到时候自己来注册吧。
页: [1]
查看完整版本: 申请会员ID:Lynnlinlin