相較于大容量的AppScan，AWVS顯得比較輕量級，安裝包大概100M，掃描速度比較有優勢，所包含的掃描漏洞類型也比較齊全，可以把兩款工具結合一起使用。

AWVS是一款Web漏洞掃描工具，通過網絡爬蟲測試網站安全，檢測流行的Web應用攻擊，如跨站腳本、sql 注入等。據統計，75% 的互聯網攻擊目标是基于Web的應用程序。

• Blind SQL Injector：盲注工具
• HTTP Editor：http協議數據包編輯器
• WebScanner：Web安全漏洞掃描（核心功能）
• Site Crawler：遍曆站點目錄結構（爬蟲功能）
• HTTP Sniffer：HTTP協議嗅探器
• HTTP Fuzzer：模糊測試工具
• Authentication Tester：Web認證破解工具
• Target Finder：端口掃描，找出web服務器端口（如80，443）
• Subdomain Scanner：子域名掃描器，利用DNS查詢使用方法

1.點擊File –> New –> Web Site Scan；or工具欄上的“New Scan”打開創建頁面，如下圖：

2. 填寫需要測試的網址，如下圖，點擊”Next”

PS：此處以一個專門的滲透測試實驗網站為例

3. 根據不同要求，選擇測試類型，一般默認選擇Default，點擊“Next”

4. 自動識别出被測站點的相關信息，此時可直接點擊“Next”

5. 根據需求，錄入或者填寫登錄信息，然後點擊“Next”

PS：如果網站需要登錄，則需要提供登錄信息，否則有些需要登錄才能操作的頁面就無法探測到

1）【Use pre-recorded login sequence】選項：

第一個按鈕：可直接打開AWVS的内置浏覽器，錄制登錄被測網站的腳本

第二個按鈕：可導入已經錄制好的登錄腳本

①　200多本網絡安全系列電子書

②　網絡安全标準題庫資料

③　項目源碼

④　網絡安全基礎入門、Linux、web安全、攻防方面的視頻

⑤　網絡安全學習路線

⑥　私信“安全”即可白嫖

2）【Try to auto-login into the site】選項：

可直接輸入登錄網站所需的賬戶名和密碼，然後AWVS用自動探測技術進行識别，不需要手工錄入登錄過程

6. 待到AWVS自動成功偵測到login登錄序列的時候，在界面上點擊“Finish”

7. 開始邊遍曆被測網站的目錄結構，邊探測漏洞

8. 掃描過程中，可以點擊右上角暫停（Pause）or停止（Stop），Stop代表停止本次掃描

9.待完全停止or結束掃描之後，目錄結構上方的工具欄圖标顔色由暗變明，點擊“Report”-“Yes”：将掃描結果插入AWVS内置的數據庫中

再次點擊“Report”，生成掃描報告

10.根據不同要求，選擇不同閱讀者雙方的報告，可生成不同類型的報告和細則，然後點擊導出報告的圖标，選擇不同的格式，即可導出此次安全掃描的報告

同樣的，掃描結果并不代表完全真實可靠，還需要依靠人工再次驗證判斷。在AWVS掃描結果基礎上，根據不同的嚴重級别進行排序、手工 工具驗證的方式對漏洞驗證可靠性，排除誤報的情況，并盡可能找出漏報的情況，把本次掃描結果彙總，對以上已驗證存在的安全漏洞排列優先級、漏洞威脅程度，并提出每個漏洞的修複建議

然後，再把此次安全漏洞整理的報告提交給項目負責人，由負責人決定哪些漏洞轉給開發工程師修複，而後再由安全測試工程師進行回歸驗證修複的狀況

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!