关于【在线网站漏洞扫描】:网站漏洞在线扫描（漏洞扫描软件AWVS的介绍和使用），今天乾乾小编给您分享一下，如果对您有所帮助别忘了关注本站哦。

• 内容导航：
• 1、在线网站漏洞扫描：网站漏洞在线扫描（漏洞扫描软件AWVS的介绍和使用）
• 2、一款分布式web漏洞检测工具WDScanner

1、在线网站漏洞扫描：网站漏洞在线扫描（漏洞扫描软件AWVS的介绍和使用）

网站漏洞在线扫描(介绍并使用漏洞扫描软件AWVS)。

Acunetix Web漏洞扫描器(awvs)是一个用于测试和管理Web应用程序安全性的平台，可以自动扫描互联网或局域网中是否存在漏洞，并报告漏洞。

1.awv简介。

Acunetix网络漏洞扫描程序(awvs)可以扫描任何通过网络浏览器访问并遵循HTTP/HTTPS规则的网站。适用于任何中小型企业的客户、员工、制造商和其他人员的内部网、外部网和网站。

AWVS可以通过检查SQL注入攻击漏洞和XSS跨站点脚本攻击漏洞来审计Web应用的安全性。

1.1 AWVS功能和特性。

自动客户端脚本分析器，允许对Ajax和Web2.0应用程序进行安全测试。

业内先进、最深入的SQL注入和跨站点脚本测试。

高级渗透测试工具，如HTPP编辑器和httpfuze。

可视化记录器可帮助您轻松测试网页表单和密码保护区域。

支持带有验证码、单个开始指令和双因素验证机制的页面。

丰富的报告功能，包括VISA PCI合规报告。

高速多线程扫描仪轻松检索数千页。

智能爬虫检测web服务器类型和应用语言。

Acunetix检索和分析网站，包括flash内容、SOAP和AJAX。

该端口扫描web服务器，并对服务器上运行的网络服务执行安全检查。

漏洞文件随处可见。

1.2 awv的工作原理。

通过跟踪网站和robots.txt上的所有链接来扫描整个网络扫描完成后，AWVS会映射网站的结构，并显示每个文件的详细信息。

在上述发现阶段或扫描过程结束后，AWVS会对每个被发现的页面自动发起一系列漏洞攻击，本质上是对黑客攻击过程的模拟(使用自定义脚本检测是否存在漏洞)。WVS分析每一页需要输入数据的地方，然后尝试所有的输入组合。这是一个自动扫描阶段。

发现漏洞后，AWVS会在“Alerts Node”中报告这些漏洞，每个警告都包含漏洞信息和如何修复漏洞的建议。

扫描完成后，它会将结果保存为文件，以便将来分析并与以前的扫描进行比较。通过使用报告工具，可以创建专业报告来总结扫描。

2.AWVS安装。

(1)在官网下载awvs安装包，是付费软件，试用期14天。当前版本已经迭代到Acunetix WVS13。

(2)点击安装包执行安装，查看使用协议，执行下一步。

(3)填写电子邮件和密码，执行下一步。此处的电子邮件和密码将用于以后使用该软件时的登录验证。

(4)在这一步填写端口号，默认为3443，可以根据自己的需要修改；询问是否向桌面添加快捷方式。一般选择是，然后执行下一步。

(5)选中创建桌面快捷方式，执行下一步完成安装。

3.AWv的使用。

3.1 AWVS页面介绍。

主菜单功能介绍:主菜单共有5个模块，分别是仪表盘、目标、漏洞、扫描和报告。

仪表板:仪表板，显示被扫描网站的漏洞信息。

目标:目标网站，需要扫描的网站。

漏洞:漏洞，显示所有扫描的网站漏洞。

扫描:扫描目标站点，并从要扫描的目标中选择目标站点。

报告:漏洞扫描完成后生成的报告。

菜单功能介绍:设置菜单共有8个模块，分别是用户、扫描类型、网络扫描仪、问题跟踪器、电子邮件设置、引擎、排除小时数和代理设置。

用户:用户，添加网站用户，添加用户认证，用户登录会话，锁定设置。

扫描类型:扫描类型，可根据需要选择，如全扫描、高风险漏洞、跨站点脚本漏洞、SQL注入漏洞、弱密码、仅爬网、恶意软红豆博文扫描。

网络扫描器:配置了包括地址、用户名、密码、端口和协议在内的网络信息的网络扫描器。

问题跟踪器:问题跟踪器，可配置的问题跟踪平台，如github、gitlab、JIRA等。

邮件设置:邮件设置，配置邮件发送信息。

发动机:发动机，发动机安装删除禁用设置。

排除小时:扫描时间设置，可设置空空闲时间扫描。

代理设置:代理设置，设置代理服务器信息。

3.2用AWVS扫描网站。

添加网址，然后单击保存。

进入扫描设置页面，根据项目要求和配置信息，点击扫描开始扫描。

设置扫描选项，一般选择全扫描，或者根据你的要求设置扫描类型，设置好之后再进行扫描。

扫描后，您可以自动跳转到仪表板查看扫描过程中发现的漏洞。

点击漏洞进入漏洞列表页面，可以导出扫描报告AWVS，将漏洞分为四级，用红、黄、蓝、绿表示紧急程度，其中红色表示高，黄色表示中，蓝色表示低，绿色表示信息类。

单击一个漏洞，然后单击输入查看AWVS给出的详细描述。AWVS给出了该漏洞的详细描述信息。包括漏洞描述，攻击细节，http请求(HTTP响应(此漏洞的HTTP影响，如何修复此漏洞，分类a，详细信息，网站参考网站。

分类漏洞分类说明。

CWE:常见漏洞枚举是由社区开发的常见软件和硬件安全漏洞列表。它是一种通用语言，一种安全工具的度量，也是识别、缓解和预防漏洞的基准。例如，下图中的CWE-89表明此错误是CWE列表中的第89个常见弱点:

CVS:通用漏洞评分系统，或称“通用漏洞评分系统”，是“旨在评估漏洞严重性并帮助确定所需响应的紧迫性和重要性的行业开放标准”。

根据CVSS评分系统，脆弱性的最终得分高为10分，低为0分。分数为7-10的漏洞通常被认为是严重漏洞，而分数为4-6.9的漏洞是中级漏洞，分数为0-3.9的漏洞是低级漏洞。其中，7~10分的漏洞必须修复。

下图显示了CVSS计算指标:

站点结构站点结构查看各个模块的漏洞，以便及时定位问题。

3.3 AWVS导出报告。

在“扫描”页面上选择报告类型，然后单击导出。

在“报告”页面上，您可以选择要下载的报告格式类型，包括pdf和html AWVS。扫描后，可以根据不同的需求以不同的方式阅读，生成不同类型的报表和细则。然后单击导出报告图标导出安全扫描报告。

4.验证漏洞的真实性。

根据对公司几个项目的扫描，得出了几个常见的漏洞。以下是这些漏洞的验证方法:

4.1 SQL盲注/SQL注入。

认证方式:sqlmap、GET、POST可以直接使用sqlmap-u“URL & quot；，cookie SQL注入新txt文档，复制并粘贴请求包大数据到其中，然后使用sqlmap-r ” XXX . txt & quot；，找出是否有注射点。

关于使用sqlmap的教程，请参考https://www.acunetix.com/vulnerability-scanner/.

4.2 CSRF跨站伪造请求攻击。

CSRF利用登录用户的身份，以用户的名义发送恶意请求，完成非法操作。

示例:如果用户浏览并信任存在CSRF漏洞的网站a，浏览器会生成相应的cookie，用户访问危险网站b时不会退出网站。危险网站b请求访问网站a并发送请求。浏览器用用户的cookie信息访问网站A，由于网站A不知道是来自用户的请求还是来自危险网站B的请求，所以会处理来自危险网站B的请求，从而完成模拟用户操作的目的。

身份验证方法:

两个页面由同一个浏览器打开。如果一个页面的权限无效，另一个页面是否能成功操作，如果还能成功操作就有风险。

使用该工具发送请求，不要在http请求头中添加referer字段，检查返回消息的回复，并重新定位到错误界面或登录界面。

4.3 HTTP慢速拒绝服务攻击。

HTTP拒绝服务攻击是指以非常低的速度向服务器发送HTTP请求。由于Web Server对并发连接数有一定的上限，如果这些连接被恶意占用而没有释放，那么Web Server的所有连接都会被恶意连接占用，从而无法接受新的请求，导致拒绝服务。为了保持这种连接，RSnake构造了一个格式错误的HTTP请求，确切地说，这是一个不完整的HTTP请求。

验证方法可参考:https://www.acunetix.com/vulnerability-scanner/.

4.4源代码泄露。

攻击者可以通过分析源代码来收集敏感信息(数据库连接字符串、应用程序逻辑)。这些信息可用于进一步的攻击。

身份验证方法:add /。url后的svn/all-wcprops或使用工具SvnExploit进行测试，例如:

4.5文件信息披露。

开发者很容易上传一些敏感信息，如邮箱信息、SVN信息、内部账号密码、数据库连接信息、服务器配置信息等，导致文件信息泄露。

5.摘要

AWVS给出的扫描结果并不代表完全真实可靠，需要再次人工验证判断。在AWVS扫描结果的基础上，按照不同的严重程度进行排序，人工+工具验证，消除误报，尽可能找出漏报，对漏洞进行验证。对扫描结果进行总结，对以上验证的安全漏洞进行优先排序和威胁排序，并对每个漏洞提出修复建议。一般来说，我们可以使用这个工具进行扫描分析，但我们不能完全依赖这个工具。

2、一款分布式web漏洞检测工具WDScanner

简介

互联网每天都在爆出各种漏洞，因此一款好的漏洞检测工具，更令站长安心。

WDScanner基本功能大致分为两类

第一类，信息收集

网站标题、banner、端口开放、子域名、CMS指纹、操作系统版本、开发语言、WAF、CDN、中间件等

第二类，漏洞检测

基本的检测端口漏洞，web基础漏洞，敏感文件之类的，扫描核心库使用了secscanner+w3af+awvs三款工具，使用较多的扫描工具可能导致扫描速度有所降低，但误报率也会大大降低

使用环境

python2.7 nmap ruby awvs10.5版本 pip php版本建议使用5.6版本，最新的7.2.3不太适合。

安装教程

跟搭建Web差不多，修改include/config.inc.php

导入数据库文件

安装python依赖库

因为后台脚本都是使用的python来运行，所以调用了一些第三方库，在TaskPython目录下有个requirements.txt文件

在TaskPython目录下执行pip install -r requirements.txt

成功后界面如图

账户admin 密码 123456登录

因为时间原因，爬虫任务功能已经失效了，能够使用的只有信息收集和漏洞检测

信息收集之CMS识别

自动识别开发语言、WAF、CMS和中间件等，并对常见端口进行扫描并判断其服务。

漏洞检测之DOM-XSS SQL注入等

漏洞检测之专项检测

此功能适用于站群

可以批量检测一个漏洞

漏洞结果报告

界面干净整洁。并且报告可以导出为pdf

不管是自用还是做公司报告，都是非常方便的。

本文关键词：网页漏洞扫描，在线web漏洞扫描工具，网站漏洞扫描原理，网站漏洞扫描工具，在线漏洞扫描工具。这就是关于《在线网站漏洞扫描，网站漏洞在线扫描（一款分布式web漏洞检测工具WDScanner）》的所有内容，希望对您能有所帮助！更多的知识请继续关注sviiv！