zero to one (3)

工具使用

AWVS

Acunetix Web Vulnerability Scanner（简称AWVS）是一款知名的Web网络漏洞扫描工具，它通过网络爬虫测试你的网站安全，检测流行安全漏洞。
功能及特点:
a)、自动的客户端脚本分析器，允许对 Ajax 和 Web 2.0 应用程序进行安全性测试。
b)、业内最先进且深入的 SQL 注入和跨站脚本测试
c)、高级渗透测试工具，例如 HTTP Editor 和 HTTP Fuzzer
d)、可视化宏记录器帮助您轻松测试 web 表格和受密码保护的区域
e)、支持含有 CAPTHCA 的页面，单个开始指令和 Two Factor（双因素）验证机制
f)、丰富的报告功能，包括 VISA PCI 依从性报告
h)、高速的多线程扫描器轻松检索成千上万个页面
i)、智能爬行程序检测 web 服务器类型和应用程序语言
j)、Acunetix 检索并分析网站，包括 flash 内容、SOAP 和 AJAX
k)、端口扫描 web 服务器并对在服务器上运行的网络服务执行安全检查
l)、可导出网站漏洞文件

在kali中配置dvwa的环境

步骤如下：
1.从github上获取资源
wget https://github.com/ethicalhack3r/DVWA/archive/master.zip下载
2.将其解压到/var/www/html文件夹里
3.赋予文件相应的权限。首先先停止apache服务 service apache2 stop,然后开启mysql服务 service mysql start.之后赋予文件权限chmod -R 755 /var/www/html/dvwa，cd /var/www/html/dvwa/
chmod 755 hackable/uploads/
chmod 755 external/phpids/0.6/lib/IDS/tmp/phpids_log.txt
chmod 755 config/
4.由于最新版本的kali用的是mariadb数据库，所以需要按照请规则建立数据库
mysql -u root -p
提示会让你输入密码，一般可以直接回车
use mysql；
update user set password=PASSWORD('xxxxxx') where User='root'; //这是更改数据库密码的语句 不知道为什么我的分号用的提示错误，可以换成\g
5.create user dvwa;
grant all on dvwa.* to dvwa@localhost identified by 'password';
flush privileges;
exit即可
6.在配置完数据库之后
打开dvwa的配置文件，将修改php配置文件找到 '' /etc/php/7.2/apache2/ '' 文件夹，用文档编辑器打开 '' php.ini '' 文件更改如下两项：''allow_url_include=Off'' 改为 ''allow_url_include=On''
进入到 /var/www/html/dvwa/config 文件夹，把配置模版文件config.inc.php.dist 复制一份 , 并命名为config.inc.php并且打开，将用户名和密码改掉。因为mariadb要求不可以用root登陆，所以用新建的用户登陆即可。
7.访问127.0.0.1/dvwa即可，自动跳转/dvwa/setup.php，然后拉到最下面，点击链接数据库，显示链接成功即可。如果出现链接不成功的错误，查看原因，去上面找对应的操作。