第4章-4.3-Web應(yīng)用漏洞掃描工具

Web應(yīng)用漏洞掃描工具目錄/CONTENTSAWVSAppScan簡介：AcunetixWeb漏洞掃描器（AcunetixWebVulnarabilityScanner，AWVS）是一個可用于Web安全漏洞掃描的工具，能夠?qū)崿F(xiàn)站點(diǎn)的爬取、遍歷獲取目標(biāo)網(wǎng)站的目錄結(jié)構(gòu)，搜索給定網(wǎng)段中開啟了80端口和443端口的主機(jī)，子域名搜索，SQL盲注等功能。AcunetixWeb漏洞掃描器AWVS功能及特點(diǎn)：自動的客戶端腳本分析器，允許對Ajax和Web2.0應(yīng)用程序進(jìn)行安全性測試業(yè)內(nèi)最先進(jìn)且深入的SQL注入和跨站腳本測試高級滲透測試工具，例如HTPPEditor和HTTPFuzzer可視化宏記錄器幫助您輕松測試web表格和受密碼保護(hù)的區(qū)域支持含有CAPTHCA的頁面，單個開始指令和TwoFactor（雙因素）驗(yàn)證機(jī)制豐富的報(bào)告功能，包括VISAPCI依從性報(bào)告高速的多線程掃描器輕松檢索成千上萬的頁面智能爬行程序檢測web服務(wù)器類型和應(yīng)用程序語言Acunetix檢索并分析網(wǎng)站，包括flash內(nèi)容，SOAP和AJAX端口掃描web服務(wù)器并對在服務(wù)器上運(yùn)行的網(wǎng)絡(luò)服務(wù)執(zhí)行安全檢查可到處網(wǎng)站漏洞文件AcunetixWeb漏洞掃描器AWVS工作原理：掃描整個網(wǎng)絡(luò)，通過跟蹤站點(diǎn)上的所有鏈接和robots.txt來實(shí)現(xiàn)掃描，掃描后AWVS就會映射出站點(diǎn)的結(jié)構(gòu)并顯示每個文件的細(xì)節(jié)信息。在上述的發(fā)現(xiàn)階段或者掃描過程之后，AWVS就會自動地對所發(fā)現(xiàn)的每一個頁面發(fā)動一系列的漏洞攻擊。在它發(fā)現(xiàn)漏洞之后，AWVS就會在“AlertsNode(警告節(jié)點(diǎn))”中報(bào)告這些漏洞，每一個警告都包含著漏洞信息和如何修補(bǔ)漏洞的建議。在一次掃描完成之后，它會將結(jié)果保存為文件以備日后分析以及與以前的掃描相比較，使用報(bào)告工具，就可以創(chuàng)建一個專業(yè)的報(bào)告來總結(jié)這次掃描。AcunetixWeb漏洞掃描器安裝：在官網(wǎng)下載awvs安裝包，安裝成功后通過訪問:3443，進(jìn)入AWVS的web應(yīng)用界面。AcunetixWeb漏洞掃描器AWVS主菜單功能介紹：Dashboard：儀表盤，顯示掃描過的網(wǎng)站的漏洞信息Targets：目標(biāo)網(wǎng)站，需要被掃描的網(wǎng)站Vulnerabilities：漏洞，顯示所有被掃描出來的網(wǎng)站漏洞Scans：掃描目標(biāo)站點(diǎn)，從Target里面選擇目標(biāo)站點(diǎn)進(jìn)行掃描Reports：漏洞掃描完成后生成的報(bào)告AcunetixWeb漏洞掃描器設(shè)置菜單功能介紹：Users：用戶，添加網(wǎng)站的使用者、新增用戶身份驗(yàn)證、用戶登錄會話和鎖定設(shè)置ScanTypes：掃描類型，可根據(jù)需要勾選完全掃描、高風(fēng)險(xiǎn)漏洞、跨站點(diǎn)腳本漏洞、SQL注入漏洞、弱密碼、僅爬網(wǎng)、惡意軟件掃描NetworkScanner：網(wǎng)絡(luò)掃描儀，配置網(wǎng)絡(luò)信息包括地址、用戶名、密碼、端口、協(xié)議IssueTrackers：問題跟蹤器，可配置問題跟蹤平臺如github、gitlab、JIRA等EmailSettings：郵件設(shè)置，配置郵件發(fā)送信息Engines：引擎，引擎安裝刪除禁用設(shè)置ExcludedHours：掃描時(shí)間設(shè)置，可設(shè)置空閑時(shí)間掃描ProxySettings：代理設(shè)置，設(shè)置代理服務(wù)器信息AcunetixWeb漏洞掃描器添加掃描目標(biāo)：在目標(biāo)設(shè)置TargetSettings中選擇目標(biāo)信息TargetInformation，配置BusinessCriticality中選擇Normal，默認(rèn)掃描項(xiàng)目DefaultScanProfile中選擇全掃描FullScan。AWVS掃描實(shí)例添加測試賬號登錄掃描：如果網(wǎng)站具有測試賬號，可以在這邊打開SiteLogin按鈕進(jìn)行添加，可以增加掃描范圍。AWVS掃描實(shí)例身份認(rèn)證及代理設(shè)置：如果目標(biāo)系統(tǒng)網(wǎng)站需要進(jìn)行身份認(rèn)證或者設(shè)置代理可以在HTTP下進(jìn)行設(shè)置。AWVS掃描實(shí)例保存設(shè)置，進(jìn)行掃描：AWVS掃描實(shí)例掃描結(jié)果：查看WebScanner掃描的結(jié)果，可以看到很多漏洞的告警信息，分別分為高、中、低、信息這四個等級，告警中會包括各種常見的漏洞信息例如代碼執(zhí)行、SQL注入、文件上傳等各種網(wǎng)站的安全漏洞。AWVS掃描實(shí)例導(dǎo)出報(bào)告：AWVS掃描實(shí)例下載報(bào)告并查看：AWVS掃描實(shí)例目錄/CONTENTSAWVSAppScanAppScan是一個可用于Web安全漏洞掃描的工具，由IBM開發(fā)，主要用于Windows操作系統(tǒng)，能夠利用爬蟲技術(shù)進(jìn)行網(wǎng)站安全滲透測試，根據(jù)網(wǎng)站入口自動地對網(wǎng)頁鏈接進(jìn)行安全漏洞掃描，掃描結(jié)束后會提供掃描報(bào)告和修復(fù)建議等。AppScan漏洞掃描工具工作原理：AppScan在掃描目標(biāo)時(shí)首先探索整個目標(biāo)頁面，然后使用掃描庫修改HTTP請求，進(jìn)行各類攻擊嘗試，最后通過分析請求的響應(yīng)包來驗(yàn)證目標(biāo)站點(diǎn)是否存在安全漏洞。AppScan漏洞掃描工具AppScan預(yù)定義的掃描策略如下：缺省值：包含多種測試方式，但會除去侵入式和端口監(jiān)聽。僅應(yīng)用程序：包含所有應(yīng)用程序級別的測試，但會去除侵入式和端口監(jiān)聽。僅基礎(chǔ)結(jié)構(gòu)：包含所有基礎(chǔ)結(jié)構(gòu)級別的測試，但會去除侵入式和端口監(jiān)聽。侵入式：包含所有侵入式測試，該方式可能會影響服務(wù)器的穩(wěn)定性。完成：包含所有AppScan的測試。關(guān)鍵的少數(shù)：包含成功可能性較高的測試，該方式可在評估目標(biāo)站點(diǎn)的時(shí)間有限時(shí)使用。開發(fā)者精要：包含成功可能性極高的應(yīng)用程序測試，該方式可在評估目標(biāo)站點(diǎn)的時(shí)間有限時(shí)使用。AppScan漏洞掃描工具AppScan的四種啟動模式：全面自動掃描：探索的同時(shí)，也進(jìn)行攻擊測試。僅自動“探索”：自動探索網(wǎng)站的目錄結(jié)構(gòu)、可被測的鏈接范圍及數(shù)目，不作實(shí)際攻擊測試。手動探索：先通過AppScan內(nèi)置瀏覽器打開被測網(wǎng)站，手動單擊不同的目錄頁面，然后AppScan記錄之。稍后啟動掃描：先把此次網(wǎng)站的掃描配置進(jìn)行保存，后續(xù)若想掃描的時(shí)候再繼續(xù)操作。AppScan漏洞掃描工具新建掃描任務(wù)：依次單擊“文件”→“新建”→“掃描Web應(yīng)用程序”，進(jìn)入掃描配置向?qū)?。在URL和服務(wù)器配置項(xiàng)中填寫掃描目標(biāo)網(wǎng)站地址。AppScan掃描實(shí)例登錄掃描：登錄管理可以添加登錄賬號，增加掃描范圍。AppScan掃描實(shí)例設(shè)置測試策略：測試策略一般選擇默認(rèn)“缺省值”即可。AppScan掃描實(shí)例測試優(yōu)化：測試優(yōu)化一般根據(jù)滲透測試的需求來進(jìn)行相應(yīng)設(shè)置，這里選擇“快速”即可AppScan掃描實(shí)例設(shè)置啟動模式：滲透測試過程中，根據(jù)實(shí)際需要進(jìn)行選擇，這里選擇“啟動全面自動掃描（A）”，單擊“完成”，即可開始啟動