漏洞扫描软件AWVS的介绍和使⽤
本⽂⾸发于:
Acunetix Web Vulnerability Scanner(AWVS)是⽤于测试和管理Web应⽤程序安全性的平台,能够⾃动扫描互联⽹或者本地局域⽹中是否存在漏洞,并报告漏洞。
1. AWVS简介
Acunetix Web Vulnerability Scanner(AWVS)可以扫描任何通过Web浏览器访问和遵循HTTP/HTTPS规则的Web站点。适⽤于任何中⼩型和⼤型企业的内联⽹、外延⽹和⾯向客户、雇员、⼚商和其它⼈员的Web⽹站。
AWVS可以通过检查SQL注⼊攻击漏洞、XSS跨站脚本攻击漏洞等漏洞来审核Web应⽤程序的安全性。
1.1 AWVS功能及特点
⾃动的客户端脚本分析器,允许对Ajax和Web2.0应⽤程序进⾏安全性测试
业内最先进且深⼊的SQL注⼊和跨站脚本测试
⾼级渗透测试⼯具,例如HTPP Editor和HTTP Fuzzer
可视化宏记录器帮助您轻松测试web表格和受密码保护的区域
⽀持含有CAPTHCA的页⾯,单个开始指令和Two Factor(双因素)验证机制
丰富的报告功能,包括VISA PCI依从性报告
⾼速的多线程扫描器轻松检索成千上万的页⾯
智能爬⾏程序检测web服务器类型和应⽤程序语⾔
Acunetix检索并分析⽹站,包括flash内容,SOAP和AJAX
端⼝扫描web服务器并对在服务器上运⾏的⽹络服务执⾏安全检查
可到处⽹站漏洞⽂件
1.2 AWVS⼯作原理
扫描整个⽹络,通过跟踪站点上的所有链接和来实现扫描,扫描后AWVS就会映射出站点的结构并显⽰每个⽂件的细节信息。
在上述的发现阶段或者扫描过程之后,AWVS就会⾃动地对所发现的每⼀个页⾯发动⼀系列的漏洞攻击,这实质上是模拟⼀个⿊客的攻击过程(⽤⾃定义的脚本去探测是否有漏洞)。WVS分析每⼀个页⾯中需要输⼊数据的地⽅,进⽽尝试3所有的输⼊组合。这是⼀个⾃动扫描阶段。
在它发现漏洞之后,AWVS就会在“Alerts Node(警告节点)”中报告这些漏洞,每⼀个警告都包含着漏洞信息和如何修补漏洞的建议。
在⼀次扫描完成之后,它会将结果保存为⽂件以备⽇后分析以及与以前的扫描相⽐较,使⽤报告⼯具,就可以创建⼀个专业的报告来总结这次扫描。
2. AWVS安装
(1)在官⽹下载awvs安装包,此软件为付费软件试⽤期14天。⽬前版本已经迭代到Acunetix WVS13版本
(2)点击安装包执⾏安装,勾选使⽤协议,执⾏下⼀步
(3)填写邮件、密码并执⾏下⼀步,这⾥的邮件及密码会⽤于以后使⽤软件的时候进⾏登录验证
(4)这⼀步填写端⼝号,默认为3443,可以根据⾃⼰需求进⾏修改;询问是否在桌⾯添加快捷⽅式,⼀般选择是,选择后执⾏下⼀步(5)勾选创建桌⾯快捷⽅式,执⾏下⼀步完成安装
3. AWVS的使⽤
3.1 AWVS页⾯简介
主菜单功能介绍:主菜单共有5个模块,分别为Dashboard、Targets、Vulnerabilities、Scans和Reports。
Dashboard:仪表盘,显⽰扫描过的⽹站的漏洞信息
Targets:⽬标⽹站,需要被扫描的⽹站
Vulnerabilities:漏洞,显⽰所有被扫描出来的⽹站漏洞
Scans:扫描⽬标站点,从Target⾥⾯选择⽬标站点进⾏扫描
Reports:漏洞扫描完成后⽣成的报告
设置菜单功能介绍:设置菜单共有8个模块,分别为Users、Scan Types、Network Scanner、Issue Trackers、Email Settings、Engines、Excluded Hours、Proxy Settings
Users:⽤户,添加⽹站的使⽤者、新增⽤户⾝份验证、⽤户登录会话和锁定设置
Scan Types:扫描类型,可根据需要勾选完全扫描、⾼风险漏洞、跨站点脚本漏洞、SQL 注⼊漏洞、弱密码、仅爬⽹、恶意软件扫描Network Scanner:⽹络扫描仪,配置⽹络信息包括地址、⽤户名、密码、端⼝、协议
Issue Trackers:问题跟踪器,可配置问题跟踪平台如github、gitlab、JIRA等
Email Settings:邮件设置,配置邮件发送信息
Engines:引擎,引擎安装删除禁⽤设置
Excluded Hours:扫描时间设置,可设置空闲时间扫描
Proxy Settings:代理设置,设置代理服务器信息
3.2 使⽤AWVS扫描⽹站
添加⽹址,点击Save
进⼊扫描设置页⾯,根据项⽬需求,配置信息,点击scan开始扫描
设置扫描选项,⼀般选择全扫,也可以根据你的需求设置扫描类型,设置完成后执⾏扫描
执⾏扫描后,⾃动跳转到仪表板,可以查看扫描过程中发现的漏洞情况快捷指令怎么打开允许不受信任的快捷指令
点击Vulnerabilities进⼊漏洞列表页⾯,这⾥可以导出扫描报告 AWVS将漏洞分为四级并⽤红黄蓝绿表⽰紧急程度,其中红⾊表⽰⾼等、黄⾊表⽰中等、蓝⾊表⽰低等、绿⾊表⽰信息类
点击选择⼀个漏洞,点击进⼊可以看到AWVS给出的详细描述 AWVS给出了漏洞详细描述信息,包括:Vulnerability description(漏洞描述)、Attack Details(攻击详细信息)、HTTP Request (http请求)、HTTP Response (http响应)、The impact of this vulnerability(此漏洞的影响)、How to fix this vulnerability(如何修复此漏洞)、Classificationa(分类)、Detailed Information(详细信息)、Web References web(引⽤)
Classification漏洞分类解释
CWE:CommonWeakness Enumeration,是社区开发的常见软件和硬件安全漏洞列表。它是⼀种通⽤语⾔,是安全⼯具的量尺,并且是弱点识别,缓解和预防⼯作的基准。
⽐如下图中CWE-89表⽰的是这个bug是CWE列表中第89号常见弱点:
CVSS: Common Vulnerability Scoring System,即“通⽤漏洞评分系统”,是⼀个“⾏业公开标准,其被设计⽤来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度”。
CVSS评分系统中规定:漏洞的最终得分最⼤为10,最⼩为0。得分7-10分的漏洞通常被认为⽐较严重,得分在4-6.9分之间的是中级漏
洞,0-3.9分的则是低级漏洞。其中,7~10分的漏洞都是必须要修复的。
下图展⽰的是CVSS计算指标:
站点结构Site Structure查看每个模块的漏洞情况,便于及时定位问题
3.3 AWVS导出报告
在Scans页⾯选择报告类型,点击导出
在Reports页⾯可选择要下载的报告格式类型,包括pdf和html AWVS在扫描结束后还可以根据不同要求不同阅读⽅式,可⽣成不同类型的报告和细则,然后点击导出报告图标即可导出此次安全扫描报告。
4. 验证漏洞的真实性
根据针对公司多个项⽬的扫描,得到了⼏种常见的漏洞情况,以下是这⼏种漏洞的验证⽅法:
4.1 SQL盲注/SQL注⼊
验证⽅法:利⽤sqlmap,GET、POST⽅式可以直接sqlmap -u "url",cookie SQL注⼊新建txt⽂档把请求包⼤数据复制粘贴到⾥⾯,再利⽤sqlmap -r "",查寻是否存在注⼊点。
4.2 CSRF跨站伪造请求攻击
CSRF,利⽤已登录的⽤户⾝份,以⽤户的名义发送恶意请求,完成⾮法操作。
举例说明:⽤户如果浏览并信任了存在CSRF漏洞的⽹站A,浏览器产⽣了相应的cookie,⽤户在没有退出该⽹站的情况下,访问了危险⽹站B 。危险⽹站B要求访问⽹站A,发出⼀个请求。浏览器带着⽤户的cookie信息访问了⽹站A,因为⽹站A不知道是⽤户⾃⾝发出的请求还是危险⽹站B发出的请求,所以就会处理危险⽹站B的请求,这样就完成了模拟⽤户操作的⽬的。
验证⽅法:
同个浏览器打开两个页⾯,⼀个页⾯权限失效后,另⼀个页⾯是否可操作成功,如果仍然能操作成功即存在风险。
使⽤⼯具发送请求,在http请求头中不加⼊referer字段,检验返回消息的应答,应该重新定位到错误界⾯或者登录界⾯。
4.3 HTTP缓慢拒绝服务攻击
HTTP缓慢拒绝服务攻击是指以极低的速度往服务器发送HTTP请求。由于Web Server对于并发的连接数都有⼀定的上限,因此若是恶意地占⽤住这些连接不释放,那么Web Server的所有连接都将被恶意连接占⽤,从⽽⽆法接受新的请求,导致拒绝服务。要保持住这个连
接,RSnake构造了⼀个畸形的HTTP请求,准确地说,是⼀个不完整的HTTP请求。
4.4 源代码泄露
攻击者可以通过分析源代码来收集敏感信息(数据库连接字符串、应⽤程序逻辑)。此信息可⽤于进⾏进⼀步攻击。
验证⽅法:在url后加/.svn/all-wcprops或者使⽤⼯具SvnExploit测试,例如:
4.5 ⽂件信息泄露
开发⼈员很容易上传⼀些敏感信息如:邮箱信息、SVN信息、内部账号及密码、数据库连接信息、服务器配置信息,导致⽂件信息泄露。
5. 总结
AWVS给出的扫描结果并不代表完全真实可靠,还需要依靠⼈⼯再次验证判断。在AWVS扫描结果基础上,根据不同的严重级别进⾏排序、⼿⼯+⼯具验证的⽅式对漏洞验证可靠性,排除误报的情况,并尽可能出漏报的情况,把本次扫描结果汇总,对以上已验证存在的安全漏洞排列优先级、漏洞威胁程度,并提出每个漏洞的修复建议。总的来说我们可以借助这个⼯具来进⾏扫描分析,但不能完全依赖于这个⼯具。
PS:更多技术⼲货,快关注【 | xingzhe_ai】,与⾏者⼀起讨论吧!
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论