AWVS——自动化检测发现漏洞

AWVS简介

*AWVS作为一个工具，不可能把所有漏洞扫描出来，仅仅是作为一个渗透网站时的辅助工具

自动化Web漏洞扫描工具（基于漏洞匹配方法，通过网络爬虫测试网站安全）

AWVS通过SQL注入攻击、XSS（跨站脚本攻击）、目录遍历、代码执行等漏洞来审计Web应用程序的安全性并输出扫描报告

安装Linux AWVS

1、先下载Linux AWVS文件

下载地址1 (访问密码: 2036)

下载地址2  (提取码: pyjz)

2、先解压出来，然后将文件导入到Kali Linux里

3、解压成下图即可

4、进入到acunetix_trial.sh 文件夹里，然后打开终端

5、赋予AWVS文件权限

小知识：Kali终端运行命令：chmod 777 filename(文件名)

chmod 命令用于修改文件权限

777分别对应3种不同类型用户：文件所有者、群组用户、其他用户

7表示4（可读）、2（可写）、1（可执行）的权限值总和 （7=4+2+1）

输入chmod 777 acunetix_trial.sh          赋予AWVS文件权限    （文件名显示为绿色表示有权限，白色表示无权限）

6、运行AWVS安装程序，然后安装提示安装

输入./acunetix_trial.sh

显示下图表示已经安装好了（记住红框内的网址）

7、用Kali Linux自带的火狐浏览器打开这个网站

8、用安装时候用的邮箱和密码进行登陆

9、激活AWVS

从网页Administrator——>profile可以看到目前版本为试用版

把激活文件patch_awvs复制到/home/acunetix/.acunetix_trial/v_190325161/scanner/下

可以使用命令进行执行

cp patch_awvs /home/acunetix/.acunetix_trial/v_190325161/scanner/

使用命令cd /home/acunetix/.acunetix_trial/v_190325161/scanner/ 进入到/home/acunetix/.acunetix_trial/v_190325161/scanner/ 目录下

然后输入chmod 777 patch_awvs  赋予激活文件权限

然后输入./patch_awvs执行激活程序

显示红框内的内容表示已经激活成功了

刷新一下网页就可以看到已经获得许可证了

*注意，激活完成后要先去设置中禁用更新

开启AWVS

1、打开kali，开启AWVS服务开启服务：service acunetix_trial start查看服务状态：状态为active（running）表示开启

2、用浏览器打开Awvs的客户端https://ip:13443(13443为linux下awvs的默认端口，3443是windows下awvs的默认端口)

ip查询：

在kali Linux终端输入ip a 红框内的即为IP

3、输入安装时的邮箱账号和密码登陆

AWVS的左侧六个功能模块

1、Dashboard：仪表盘模块，你扫描过的网站的一些漏洞信息这里会显示

2、Targets：目标模块，就是你要扫描的目标网站

3、Vulnerabilities：漏洞模块，显示扫描的漏洞详情

4、Scans：扫描模块，从Target里面选择目标站点进行扫描

5、Reports：报告模块，漏洞扫描完之后的报告

6、Settings：设置模块，就是软件的一些设置，包括软件更新，代理设置等等

AWVS的简单实战扫描

（本次实战是在合法靶场中进行测试，已获得授权）

1、添加目标

User Agent按需选择

Technologies根据你要测试的网站来进行选择

设置完成后要记得保存哦

通过扫描靶场可以发现测试网站有个SQL盲注漏洞

验证阶段

验证完成，确实存在盲注SQL漏洞

一些常见问题

一、windows下支持安装AWVS吗?

支持，可以参考以下教程，比较简单，可以自行安装https://www.cnblogs.com/chun-xiaolin001/p/10060830.html

二、AWVS忘记了密码怎么办，需要重新安装吗？

不需要，可以进入kali的/home/acunetix/.acunetix_trial目录下，运行change_credentials.sh，可以直接重置密码