AWVS漏洞扫描工具的高级用法-易锦网校

AWVS漏洞扫描工具的高级用法

2022-11-16 14:37:36338浏览

AWVS是渗透是一个非常重要的扫描工具，通常我们用这个工具去扫描网站存在的漏洞，我们来看下这个工具有哪些高级用法。

写在前面：

本篇文章主要讲解我们课内没有讲到的AWVS利用方式。本文有些地方可能比较抽象，因为是一些高级方法，没那么容易理解，这里我建议可以先把课堂视频先学懂，最后再来看文章。

下面我先介绍一下AWVS这款工具。

一、什么是AWVS

Acunetix Web Vulnerability Scanner（AWVS）是用于测试和管理Web应用程序安全性的平台，能够自动扫描互联网或者本地局域网中是否存在漏洞，并报告漏洞。

Acunetix Web Vulnerability Scanner（AWVS）可以扫描任何通过Web浏览器访问和遵循HTTP/HTTPS规则的Web站点。适用于任何中小型和大型企业的内联网、外延网和面向客户、雇员、厂商和其它人员的Web网站。

AWVS可以通过检查SQL注入攻击漏洞、XSS跨站脚本攻击漏洞等漏洞来审核Web应用程序的安全性。

二、AWVS的功能

AWVS的功能很多，例如下面这些功能。

  自动的客户端脚本分析器，允许对Ajax和Web2.0应用程序进行安全性测试
  
  业内最先进且深入的SQL注入和跨站脚本测试
  
  高级渗透测试工具，例如HTPP Editor和HTTP Fuzzer
  
  可视化宏记录器帮助您轻松测试web表格和受密码保护的区域
  
  支持含有CAPTHCA的页面，单个开始指令和Two Factor（双因素）验证机制
  
  丰富的报告功能，包括VISA PCI依从性报告
  
  高速的多线程扫描器轻松检索成千上万的页面
  
  智能爬行程序检测web服务器类型和应用程序语言
  
  Acunetix检索并分析网站，包括flash内容，SOAP和AJAX
  
  端口扫描web服务器并对在服务器上运行的网络服务执行安全检查
  
  可到处网站漏洞文件

也不用把AWVS看得太复杂，简单来说就是一款扫描漏洞的专业工具。

三、AWVS的扫描原理

扫描整个网络，通过跟踪站点上的所有链接和robots.txt来实现扫描，扫描后AWVS就会映射出站点的结构并显示每个文件的细节信息。

在上述的发现阶段或者扫描过程之后，AWVS就会自动地对所发现的每一个页面发动一系列的漏洞攻击，这实质上是模拟一个黑客的攻击过程（用自定义的脚本去探测是否有漏洞）。WVS分析每一个页面中需要输入数据的地方，进而尝试3所有的输入组合。这是一个自动扫描阶段。

在它发现漏洞之后，AWVS就会在“Alerts Node(警告节点)”中报告这些漏洞，每一个警告都包含着漏洞信息和如何修补漏洞的建议。

在一次扫描完成之后，它会将结果保存为文件以备日后分析以及与以前的扫描相比较，使用报告工具，就可以创建一个专业的报告来总结这次扫描。

四、AWVS的使用

1、AWVS页面简介

主菜单功能介绍：主菜单共有5个模块，分别为Dashboard、Targets、Vulnerabilities、Scans和Reports。

Dashboard：仪表盘，显示扫描过的网站的漏洞信息

Targets：目标网站，需要被扫描的网站

Vulnerabilities：漏洞，显示所有被扫描出来的网站漏洞

Scans：扫描目标站点，从Target里面选择目标站点进行扫描

Reports：漏洞扫描完成后生成的报告

设置菜单功能介绍：设置菜单共有8个模块，分别为Users、Scan Types、Network Scanner、Issue Trackers、Email Settings、Engines、Excluded Hours、Proxy Settings

Users：用户，添加网站的使用者、新增用户身份验证、用户登录会话和锁定设置

Scan Types：扫描类型，可根据需要勾选完全扫描、高风险漏洞、跨站点脚本漏洞、SQL 注入漏洞、弱密码、仅爬网、恶意软件扫描

Network Scanner：网络扫描仪，配置网络信息包括地址、用户名、密码、端口、协议

Issue Trackers：问题跟踪器，可配置问题跟踪平台如github、gitlab、JIRA等

Email Settings：邮件设置，配置邮件发送信息

Engines：引擎，引擎安装删除禁用设置

Excluded Hours：扫描时间设置，可设置空闲时间扫描

Proxy Settings：代理设置，设置代理服务器信息

2、扫描网站

（1）首先，先添加好网站，然后点击`save` 保存。

（2）进入扫描设置页面，根据项目需求，配置信息，点击scan开始扫描

（3）设置扫描选项，一般选择全扫，也可以根据你的需求设置扫描类型，设置完成后执行扫描

（4）执行扫描后，自动跳转到仪表板，可以查看扫描过程中发现的漏洞情况

（5）点击Vulnerabilities进入漏洞列表页面，这里可以导出扫描报告 AWVS将漏洞分为四级并用红黄蓝绿表示紧急程度，其中红色表示高等、黄色表示中等、蓝色表示低等、绿色表示信息类。

（6）点击选择一个漏洞，点击进入可以看到AWVS给出的详细描述 AWVS给出了漏洞详细描述信息，包括：Vulnerability description（漏洞描述）、Attack Details（攻击详细信息）、HTTP Request （http请求）、HTTP Response （http响应）、The impact of this vulnerability（此漏洞的影响）、How to fix this vulnerability（如何修复此漏洞）、Classificationa（分类）、Detailed Information（详细信息）、Web References web（引用）

Classification漏洞分类解释

CWE：CommonWeakness Enumeration，是社区开发的常见软件和硬件安全漏洞列表。它是一种通用语言，是安全工具的量尺，并且是弱点识别，缓解和预防工作的基准。比如下图中CWE-89表示的是这个bug是CWE列表中第89号常见弱点：

CVSS： Common Vulnerability Scoring System，即“通用漏洞评分系统”，是一个“行业公开标准，其被设计用来评测漏洞的严重程度，并帮助确定所需反应的紧急度和重要度”。

CVSS评分系统中规定：漏洞的最终得分最大为10，最小为0。得分7-10分的漏洞通常被认为比较严重，得分在4-6.9分之间的是中级漏洞，0-3.9分的则是低级漏洞。其中，7~10分的漏洞都是必须要修复的。

下图展示的是CVSS计算指标：

站点结构Site Structure查看每个模块的漏洞情况，便于及时定位问题

3、AWVS导出报告

在Scans页面选择报告类型，点击导出

在Reports页面可选择要下载的报告格式类型，包括pdf和html AWVS在扫描结束后还可以根据不同要求不同阅读方式，可生成不同类型的报告和细则，然后点击导出报告图标即可导出此次安全扫描报告。

五、验证漏洞的真实性

根据针对多个项目的扫描，得到了几种常见的漏洞情况，以下是这几种漏洞的验证方法：

1、 SQL盲注/SQL注入

验证方法：利用sqlmap，GET、POST方式可以直接sqlmap -u "url"，cookie SQL注入新建txt文档把请求包大数据复制粘贴到里面，再利用sqlmap -r "xxx.txt"，查寻是否存在注入点。

sqlmap使用教程可参考：

SqlMap注入工具使用教程（点击可直接跳转）

2、 CSRF跨站伪造请求攻击

CSRF，利用已登录的用户身份，以用户的名义发送恶意请求，完成非法操作。

举例说明：

用户如果浏览并信任了存在CSRF漏洞的网站A，浏览器产生了相应的cookie，用户在没有退出该网站的情况下，访问了危险网站B 。危险网站B要求访问网站A，发出一个请求。浏览器带着用户的cookie信息访问了网站A，因为网站A不知道是用户自身发出的请求还是危险网站B发出的请求，所以就会处理危险网站B的请求，这样就完成了模拟用户操作的目的。

验证方法：

同个浏览器打开两个页面，一个页面权限失效后，另一个页面是否可操作成功，如果仍然能操作成功即存在风险。

使用工具发送请求，在http请求头中不加入referer字段，检验返回消息的应答，应该重新定位到错误界面或者登录界面。

3、 HTTP缓慢拒绝服务攻击

HTTP缓慢拒绝服务攻击是指以极低的速度往服务器发送HTTP请求。由于Web Server对于并发的连接数都有一定的上限，因此若是恶意地占用住这些连接不释放，那么Web Server的所有连接都将被恶意连接占用，从而无法接受新的请求，导致拒绝服务。要保持住这个连接，RSnake构造了一个畸形的HTTP请求，准确地说，是一个不完整的HTTP请求。

验证方法可参考：

AWVS下载地址：

https://drive.weixin.qq.com/s?k=APwAoAd0AAcXONRgh1

4、源代码泄露

攻击者可以通过分析源代码来收集敏感信息（数据库连接字符串、应用程序逻辑）。此信息可用于进行进一步攻击。

验证方法：

在url后加/.svn/all-wcprops或者使用工具SvnExploit测试

例如：

5、文件信息泄露

开发人员很容易上传一些敏感信息如：邮箱信息、SVN信息、内部账号及密码、数据库连接信息、服务器配置信息，导致文件信息泄露。