文章目錄

• • 文章主旨
  • 【Configuration】簡介
  • 一、了解Application Settings 應用程序設置
  • • 1. Application Updates 程序升級程序（詳介）
    • 2. Logging 日志配置（詳介）
    • 3. Saved Scan Results 掃描保存數據庫的設置（詳介）
    • 4. HTTP Authentication HTTP基本驗證（詳介）
    • 5. Client Certificates 證書驗證（詳介）
    • 6. Login Sequence Manager：表單驗證
    • 7. False Positives 處理誤報
    • 8. HTTP Sniffer 代理型嗅探抓包設置（詳介）
    • 9. Scheduler：計劃任務性掃描
    • 10. Miscellaneous 雜七雜八項配置Memory Optimization ： 內存優化
    • • Display Options ： 顯示選項
      • Password Protection ： 密碼保護
    • 11. AcuSensor deployment 和 Acumonitor
  • 二、了解ScanSettings掃描參數配置的內容。
  • • 1. Scaning Options
    • 2. Headers and Cookies
    • 3. Parameter Exclusion 掃描參數排除
    • 4. GHDB 利用Google Hacking 數據庫檢測
    • 5. Crawling Options 爬蟲設置
    • 6. file extension filters 文件擴展名過濾
    • 7. Directory and file filters 目錄和文件過濾
    • 8. URL Rewrite URL重定向設置
    • 9. HTTP Options 定義在爬行和掃描過程的HTTP頭選項
    • 10. LAN Settings 配置代理服務器來掃描網站漏洞
    • 11.DeepScan 深度掃描
    • 12. Custom Cookies
    • 13. Input Fileds
    • 14. AcuSensor
    • 15. Port Scanner 端口掃描
    • 16. Custom 404
  • 三、了解【ScanProfiles】掃描策略配置的內容
  • • 1. 腳本掃描策略設置
    • 2.自己新建掃描策略
    • 3. 接上

文章主旨

通過本篇文章，我們可以了解并熟悉AWVS 10.5的常用配置，以及每一個配置選項的意義。
熟悉這些配置項，對你使用AWVS很有幫助。

【Configuration】簡介

從AWVS 10.5的Configuration的選項中，我們可以知道，Configuration選項下還有三個選項，
“ ApplicationSettings ”、“ Scan Settings ” 和 “ Scanning Profiles ”。
分別是：應用程序設置、掃描參數配置、掃描策略配置。

一、了解Application Settings 應用程序設置

點擊Application Settings 進入，看到下面的內容

簡單描述：

1. Application Updates 程序升級程序（詳介）

2. Logging 日志配置（詳介）

3. Saved Scan Results 掃描保存數據庫的設置（詳介）

4. HTTP Authentication HTTP基本驗證（詳介）

什么是HTTP基本認證：傳送門（點我！）

5. Client Certificates 證書驗證（詳介）

6. Login Sequence Manager：表單驗證

這個功能可以配置登陸的信息，詳細的操作我們在前面的已經填寫過了。所以這里就不再進行描述了。

7. False Positives 處理誤報

此處是存儲誤報的鏈接、請求的。

在我們掃描的結果中，如果你認為這一項是AWVS的誤報，右擊選擇它”Mark alert(s) as false positive“將它放置到誤報區域內，AWVS下次掃該站點的時候將不會再認為它是一個漏洞。

Removed Selected則是移除選中的誤報。

8. HTTP Sniffer 代理型嗅探抓包設置（詳介）

HTTP 代理設置，默認監聽8080端口(此功能默認不開啟)

監聽的端口默認是8080端口，在這里配置設置之后點擊“Apply”應用之后，將本地瀏覽器設置代理為127.0.0.1:8080，然后點擊Tools->HTTP Sniffer，再點擊“Start”就可以獲取嗅探到訪問網頁的數據包了

9. Scheduler：計劃任務性掃描

用戶可以不啟動AWVS來掃描漏洞，可以直接訪問Web版實現計劃任務，http://localhost:8181，可以掃描多個網站漏洞，使用該項服時要保證AcunetixWVS Scheduler v10服務已經啟動。

Web Interface：Web版掃描的配置



Scan： 設置計劃任務掃描的線程與保存結果


Email Notifications： 配置郵件服務器將掃描工作通過郵件形式發送給您


Excluded hours Templates ：禁止掃描時間設置模版在這里可以設置，在執行任務的時候，哪些時間段不進行掃描。設置的時候，藍色表示允許掃描，紅色表示禁止掃描。


點擊“New Scan” ，可以新建一個掃描計劃，先進行基本設置：

然后是掃描設置：

最后時掃描結果和報告的設置：

掃描完成之后，會有如下的結果顯示：



如果我們在上面的掃描結果和報告的設置中，勾選了“將掃描結果保存在數據庫中”的話，那么可以使用，安裝時同步安裝的“Acunetix WVS Reporter 10.5”來進行查看：

10. Miscellaneous 雜七雜八項配置Memory Optimization ： 內存優化

Display Options ： 顯示選項

Password Protection ： 密碼保護

11. AcuSensor deployment 和 Acumonitor

AcuSensordeployment是傳感器技術的部署，
而Acumonitor是一種適合于沒有回顯的漏洞的掃描技術。
這兩個由于篇幅的限制，我在下面單獨介紹

二、了解ScanSettings掃描參數配置的內容。

這個選項是對掃描參數的配置。其包括下面的一些配置選項：

1. Scaning Options

① 禁用爬蟲發現的問題AWVS在漏洞測試之前會使用爬蟲功能對網站先進行測試，此處是禁用爬蟲爬行發現的問題如:錯誤的鏈接。一般這樣的錯誤都是風險很低的警告信息。② scanning mode 是指掃描的模式分為三種如下：

③ 目錄爬行的遞歸深度，默認為5級，使用0則關閉；默認發送相同類型的警告不超過500條，使用0則關閉此功能。④ 開啟目標端口掃描功能（但掃描速度較慢）。⑤ 收集不常見的HTTP請求狀態，例如HTTP500狀態碼、無頭部等。⑥ 在掃描過程中如果服務器停止響應，嘗試25次之后中止掃描。⑦ 在掃描過程中，是否使用網站設定的cookie⑧ 有些網站會使用鏈接到其它主機的文件，而這些網站與主站的關系相近，你可以添加允許與主站關系很大的域名來進行掃描，可以使用通配符形式。這樣掃描的時候也會掃描這些主機的漏洞。

2. Headers and Cookies

① 訪問所有文件，都使用cookie測試(默認情況下，只有帶參數的文件才使用cookie進行檢測)。② 操控HTTP頭部信息，可按照自己的要求定制HTTP頭。③ Add Header： 添加一個HTTP頭部，選中新增的“enter header name here”，然后再單擊一次，就可以輸入你的頭部名稱。④ Remove Selected：移除你選中的HTTP頭部

3. Parameter Exclusion 掃描參數排除

有些參數不影響用戶會話的操作，那么就可以排除這些參數，將這些參數放在這個名單中，掃描器將不會去掃描測試這些參數，注意：名稱應該為正則表達式

4. GHDB 利用Google Hacking 數據庫檢測

從圖中可以知道，我們目前使用的版本，總共有1467條查詢語句在數據庫中，也可以看到這些語句的具體分類。

如圖，展開每一個分類，可以查看詳細信息，左邊是描述，右邊是具體的查詢字符串：

5. Crawling Options 爬蟲設置

這些選項可以定義爬蟲的行為，可以針對特定的掃描場景。

6. file extension filters 文件擴展名過濾

AWVS將讀取該配置，嘗試掃描哪些后綴的文件。如果有排除掉的后綴文件，那么AWVS在掃描的時候將不掃描被排除的后綴文件

7. Directory and file filters 目錄和文件過濾

定義一個目錄列表，該目錄列表將不會被爬蟲爬取或者掃描器掃描。如/dir1/* 表示將不掃描或者爬行/dir1/下的文件，/dir1/a*表示的是不掃描或者爬取dir1下以a開頭的文件。

8. URL Rewrite URL重定向設置

一些網站會使用URL重定向，這個選項就是讓你可以定義一個URL重定向列表，用來針對不同的網站的重定向，這樣可以幫助爬蟲瀏覽這些網站。

9. HTTP Options 定義在爬行和掃描過程的HTTP頭選項

10. LAN Settings 配置代理服務器來掃描網站漏洞

11.DeepScan 深度掃描

深度掃描,是一種嵌入WebKit的技術，為使用JavaScript基礎技術如AJAX / HTML5和SPA 的網站提供全面支持

12. Custom Cookies

自定義Cookie，例如你在網站的登錄之后獲取Cookie，并添加到此處，那么就可以實現預登陸狀態下的掃描。

13. Input Fileds

這里主要進行設置的是提交表單時的字段對應的默認值，例如在HTML表單提交中出現age的字段，則會自動填寫值為20。

URL/Name字段中的值可以是準確的值，也可以是含有通配符的表示形式，

例如：1web2這樣的就是滿足web，而Value字段的值則有多種變量如下：


此處的功能是從URL中 解析表單的字段，如下圖輸入http://login.taobao.com后，點擊“Parse from URL”將從這里讀取表單的字段，如果字段有默認值則填寫默認，沒有則需要自己添加。
這樣方便在掃描的時候AWVS自動填寫預設的值去提交表單進行漏洞測試

14. AcuSensor

傳感器技術 ，灰盒測試，從這個配置選項中，我們可以啟用或禁用acusensor功能和設置密碼.

15. Port Scanner 端口掃描

配置端口掃描程序的socket、超時和端口設置

16. Custom 404

自定義404頁面，為了掃描中防止誤報，應當自定義404頁面自定義404頁面的方式：

實例：


或者也可以選擇向下展開的按鈕：

然后可以嘗試在這里瀏覽一個404頁面，
然后可以測試網站的404頁面包括頭部、瀏覽形式的查看，

然后你可以選擇可以代表該網站的404頁面的關鍵字，最后點擊“Generate pattern from selection”來自動設置。

三、了解【ScanProfiles】掃描策略配置的內容

1. 腳本掃描策略設置

這個選項是對掃描策略的一個設置，也可以說是對掃描腳本的配置

在這個選項中有很多AWVS自帶的掃描腳本，用戶可以在這里選擇指定的腳本來新建自己的掃描策略。

如下圖，可以看到很多的掃描腳本。點擊每個腳本，在右側可以看到腳本的詳細描述。

2.自己新建掃描策略

然后我們可以嘗試新建自己的掃描策略。

如下圖，選擇好自己需要的腳本或者掃描選項之后，點擊如圖所示的一個“空白文件”樣式的圖標，并為自己的掃描策略命名。

3. 接上

之后就可以子啊Profiles選項中找到自己的掃描策略。
同時也可以在新建掃描的時候看到并選擇自己的掃描策略。

總結

以上是生活随笔為你收集整理的AWVS 10.5 配置选项的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。