AWVS安裝教程與基本使用方法

一、安裝教程

這里以AWVS11為例，下載方法可以從官網下載,免費版本也可以從GitHub上找

雙擊安裝包出現下面界面，填寫郵箱、密碼點擊下一步。

點擊下一步后讓你填寫端口號，默認端口號問3443如果你不想用可以更改以防止端口沖突

這一步是詢問你是否需要在桌面添加快捷方式一般默認勾選

閱讀它的使用協議然后點擊下一步

安裝完成

雙擊桌面快捷方式打開AWVS界面，新版本的AWVS沒有了以前的程序界面現在全部都是web界面，輸入在第一步填寫的郵箱地址和密碼登錄就可以了

二、AWVS使用教程

AWVS簡介

相較于大容量的AppScan，AWVS顯得比較輕量級，安裝包大概100M，掃描速度比較有優勢，所包含的掃描漏洞類型也比較齊全，可以把兩款工具結合一起使用。

AWVS是一款Web漏洞掃描工具，通過網絡爬蟲測試網站安全，檢測流行的Web應用攻擊，如跨站腳本、sql 注入等。據統計，75% 的互聯網攻擊目標是基于Web的應用程序。更新以后AWVS從以前的程序化界面升級到了web界面化，界面更整潔使用更流暢，對用戶更加友好。

AWVS主要功能模塊

• Blind SQL Injector：盲注工具

• HTTP Editor：http協議數據包編輯器

• WebScanner：Web安全漏洞掃描（核心功能）

• Site Crawler：遍歷站點目錄結構（爬蟲功能）

• HTTP Sniffer：HTTP協議嗅探器

• HTTP Fuzzer：模糊測試工具

• Authentication Tester：Web認證破解工具

• Target Finder：端口掃描，找出web服務器端口（如80，443）

• Subdomain Scanner：子域名掃描器，利用DNS查詢使用方法

AVWS安全掃描操作方法

新建掃描，輸入要測試掃描的地址

點擊Scan開始掃描，有的測試網站需要你提前登錄才能掃描，這樣就先設置好登錄頁面的賬號和密碼

設置掃描時的UA

設置掃描選項，一般選擇全掃，也可以根據你當前需要設置為你需要的掃描類型

查看掃描結果，掃描結果一般分為高危、中危、低危和無風險，也能掃描網站的ip地址、服務器版本、用什么語言編寫。點擊相應的漏洞可以查看漏洞的類型、修復方法、能有什么危害。

AWVS在掃描結束后還可以根據不同要求不同閱讀方式，可生成不同類型的報告和細則，然后點擊導出報告圖標即可導出此次安全掃描報告，一般情況下不推薦使用AWVS導出的報告來作為這次滲透測試的報告。

三、結果分析

同樣的，掃描結果并不代表完全真實可靠，還需要依靠人工再次驗證判斷。在AWVS掃描結果基礎上，根據不同的嚴重級別進行排序、手工+工具驗證的方式對漏洞驗證可靠性，排除誤報的情況，并盡可能找出漏報的情況，把本次掃描結果匯總，對以上已驗證存在的安全漏洞排列優先級、漏洞威脅程度，并提出每個漏洞的修復建議，總的來說我們可以借助這個工具來進行掃描分析，但不能完全依賴于這個工具。編寫滲透測試報告時可以根據掃描結果對測試網站做出合理判斷，然后，再把此次滲透測試報告提交給項目負責人，由負責人決定哪些漏洞轉給開發工程師修復，而后再由安全測試工程師進行回歸驗證修復的狀況

總結

以上是生活随笔為你收集整理的AWVS教程的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。