AWVS安装过程、主要文件介绍、界面简介、主要操作区域简介
AWVS安装的方法与安装windows程序安装方法一样,漏洞扫描,我们这里主要讲解安装的主要点:
6、启动桌面上的Acunetix Web Vulnerability Scanner
10.5,在菜单栏上选择——Help——About可以看到AWVS的版本,web漏洞扫描器,以及包括“Program
Updates”可检查软件更新,我们这里就不更新。毕竟我们下的是较的新版的。
7、主要程序介绍:在程序安装路径“C:﹨Program Files (x86)﹨Acunetix﹨Web Vulnerability Scanner 10” 中主要文件的作用如下:
8、安装界面介绍:启动AWVS可以看到整个程序的界面
①、标题栏
②、菜单栏
③、工具栏
④、主要操作区域
⑤、主界面
⑥、状态区域
9:主要操作区域简介:
0×02、AWVS的菜单栏、工具栏简介(AWVS menus bar & tools bar)
a)、菜单栏
File——New——Web Site Scan :新建一次网站扫描
File——New——Web Site Crawl:新建一次网站爬行
File——New——Web Services Scan:新建一个WSDL扫描
Load Scan Results:加载一个扫描结果
Sava Scan Results:保存一个扫描结果
Exit:退出程序
Tools:参考主要操作区域的tools
Configuration——Application Settings:程序设置
Configuration——Scan Settings:扫描设置
Configuration——Scanning Profiles:侧重扫描的设置
Help——Check for Updates:检查更新
Help——Application Directories——Data Directory:数据目录
Help——Application Directories——User Directory:用户目录
Help——Application Directories——Scheduler Sava Directory:计划任务保存目录
Help——Schedule Wen Interface:打开WEB形式计划任务扫描处
Help——Update License:更新AWVS的许可信息
Help——Acunetix Support——User Mannul(html):用户HTML版手册
Help——Acunetix Support——User Mannul(PDF):用户PDF版手册
Help——Acunetix Support——Acunetix home page:AWVS官的网
Help——Acunetix Support——HTTP Status:HTTP状态码简介
b)、工具栏
从左到右分别是(这些都可以在主要操作区域找到,所以不常用):
新建扫描——网站扫描——网站爬行——目标查找——目标探测——子域名扫描——SQL盲注——HTTP编辑——HTTP嗅探——HTTP Fuzzer——认证测试——结果对比——WSDL扫描——WSDL编辑测试——程序设置——扫描设置——侧重扫描设置——计划任务——报告
Acunetix网络漏洞扫描是如何工作的
Acunetix网络漏洞扫描器以以下方法工作:
1.
Acunetix深度扫描通过追的踪站点上的所有链接分析整个网站,包括用JAVA脚本动态建立的链接,机器人协议中找到的链接,站点根目录(如果可用)。结果是Acunetix漏洞扫描可以定位检查整个网站,而不是网站的一部分。
屏幕截图 - 爬行结果
2.
如果Acunetix AcuSensor功能开启,传感器就会追的踪所有呈现在网络应用目录中的所有文件,添加未在爬行器找到的文件到爬行器输出中。这样的文件通常爬行器是无法发现的,因为他们不能从网络服务器访问,或者在网站上没有链接。Acunetix AcuSensor也会分析无法从因特网访问的文件,比如web.config。
3.
在爬行过程之后,网络漏洞扫描器会自动发布漏洞,网站漏洞扫描软件,以模仿黑的客的基础在每页上面检查出的漏洞。Acunetix网络漏洞扫描页可以分析每个页面中输入数据的位置,漏洞扫描,然后进行不同的输入结合。这是自动扫描阶段,若AcuSensor功能开启,一系列另外的网站漏洞也会检查出来。更多关于AcuSensor的信息在下文介绍。
屏幕截图——扫描结果
4. 侦的查出的漏洞都显示在扫描结果中。每个漏洞提醒都包含了漏洞信息,比如POST数据使用,影响的物体,服务器的http回复,等。
5.
如果AcuSensor运用到细节,比如源代码行号,栈追中,或者受影响的SQL质询导致列出的漏洞,推荐如显示修补漏洞。
6.
完整扫描可以生成各种报告,包括整体的总结报告,开发者报告,各种兼容报告比如PCI或者ISO 270001。