一个人的闲言碎语

dr0v

blog.drov.com.cn
一个人碎碎念。
About Me
A lazy security employee.

2018年10月8日星期一

针对另外两款漏扫工具进行熟悉和简介,其中AWVS被视为漏扫中的战斗机。

AWVS与AppScan 

AWVS(Acunetix Web Vulnerability Scanner)是一款知名的Web网络漏洞扫描工具,通过网络爬虫对网站的安全性进行测试。
AppScan(IBM Security AppScan)则是IBM的Rational软件部门的一组网络安全测试和监控工具,旨在在开发过程中对Web应用程序的安全漏洞进行测试。

AWVS

AWVS可以快速扫描跨站脚本攻击(XSS)、SQL注入攻击、代码执行、目录遍历攻击、文件入侵、脚本源代码泄露、CRLF注入、PHP代码注入、XPath注入、LDAP注入、Cookie操纵、URL重定向、应用程序错误消息等。
其主要特点有:
  • 具有AcuSensor技术——基于交互式应用安全检测(IAST)技术的Web漏洞扫描功能
  • 自动客户端脚本分析器允许AJAX和Web 2.0应用程序进行安全测试
  • 先进的SQL注入和跨站脚本测试
  • 高级渗透测试工具,如 HTTP Editor 和 HTTP Fuzzer
  • 可视化宏记录器可轻松测试 web 表格和受密码保护的区域
  • 支持含有 CAPTHCA 的页面,单个开始指令和 Two Factor(双因素)验证机制
  • 丰富的报告功能,包括 VISA PCI 依从性报告
  • 高速的多线程扫描器轻松检索成千上万个页面
  • 智能爬行程序检测 web 服务器类型和应用程序语言
  • Acunetix 检索并分析网站,包括 flash 内容、SOAP 和 AJAX
  • 端口扫描 web 服务器并对在服务器上运行的网络服务执行安全检查
  • 可导出网站漏洞文件
更多介绍可参考:传送门
AWVS和Burp Suite一样高度自动化,AWVS界面则更简单直观,主界面即可看到AWVS提供的所有功能、实用工具:
  • 全站扫描
  • 爬虫
  • 端口扫描
  • 盲注测试
  • 子域名探测
  • HTTP编辑器
  • ……
通过单击’New Scan’即可开始一次漏洞扫描,首先输入漏洞扫描测试域名:’demo.testfire.net’,单击’Next’即可对本次扫描进行一些配置——如扫描漏洞类型、登录选项、是否检测其他主机,本次为功能体验,直接点击Next、Finish完成配置即可,AWVS即会开始对目标网站进行漏洞扫描,并最终展示扫描结果。
观察漏扫结果,目标网站存在SQL注入漏洞,且AWVS标明了漏洞路径和漏洞利用方法,结合AWVS提示,访问存在漏洞的页面:http://demo.testfire.net/bank/login.aspx,发现是一个登录界面,AWVS提示其uid(对应表单Username)与pwd(对应表单Password)字段均存在注入漏洞,于是,尝试输入万能帐号密码' or '1'='1进行注入尝试,最终成功登录(由于是测试网站所以漏洞利用都很简单)。






同时,AWVS还支持B/S结构的扫描方式——即可以通过AWVS安装至服务器中,通过Web访问形式控制AWVS进行漏扫。
在Tools Explorer中,选择’Configuration’->’Application Setting’->’Scheduler’,单击’Change administrative password’填写远程访问所需用户名及密码,然后勾选’Allow remote computers to connect’,’Apply’即可。
输入https://IP:8183 (端口可自行设定)即可通过Web页面配置漏扫任务。可配置选项:
  • 扫描整站或页面
  • 扫描周期:仅一次、每天、每周、每月
  • 扫描启动时间(HH:MM)
  • 扫描配置
  • 扫描模式
  • 重要时间规避(指定时间不做扫描)
  • 报告生成方式

AppScan

AppScan可扫描、检测常见的Web应用安全漏洞,属于商业级漏洞扫描、检测安全工具。
近年,IBM为AppScan引进了一个新的组件——Glass Box,引入了运行时分析技术,提高扫描的精确度,有利于发现更多的漏洞。具体介绍可参见:传送门
AppScan的特性和功能:
由于没有下载安装AppScan,而其功能和界面、结果呈现跟AWVS相似,故不做更多介绍。
值得一提的是,AppScan支持用户自定义工具,打开’工具’->’PowerTool’->’外部工具’,单击’添加’按钮即可完成自定义工具的添加——如菜刀。

1 条评论:

  1. Many thanks for sharing such incredible knowledge Of TagSpaces Crack. It's really good for your Website.
    The info on your website inspires me greatly. This website I'm bookmarked. Maintain it and thanks again.
    I'm really impressed with your writing skills, as smart as the structure of your weblog.

    Acunetix Crack

    回复删除