一个人的闲言碎语

dr0v

blog.drov.com.cn
一个人碎碎念。
About Me
A lazy security employee.

2018年10月8日星期一

针对另外两款漏扫工具进行熟悉和简介,其中AWVS被视为漏扫中的战斗机。

AWVS与AppScan 

AWVS(Acunetix Web Vulnerability Scanner)是一款知名的Web网络漏洞扫描工具,通过网络爬虫对网站的安全性进行测试。
AppScan(IBM Security AppScan)则是IBM的Rational软件部门的一组网络安全测试和监控工具,旨在在开发过程中对Web应用程序的安全漏洞进行测试。

AWVS

AWVS可以快速扫描跨站脚本攻击(XSS)、SQL注入攻击、代码执行、目录遍历攻击、文件入侵、脚本源代码泄露、CRLF注入、PHP代码注入、XPath注入、LDAP注入、Cookie操纵、URL重定向、应用程序错误消息等。
其主要特点有:
  • 具有AcuSensor技术——基于交互式应用安全检测(IAST)技术的Web漏洞扫描功能
  • 自动客户端脚本分析器允许AJAX和Web 2.0应用程序进行安全测试
  • 先进的SQL注入和跨站脚本测试
  • 高级渗透测试工具,如 HTTP Editor 和 HTTP Fuzzer
  • 可视化宏记录器可轻松测试 web 表格和受密码保护的区域
  • 支持含有 CAPTHCA 的页面,单个开始指令和 Two Factor(双因素)验证机制
  • 丰富的报告功能,包括 VISA PCI 依从性报告
  • 高速的多线程扫描器轻松检索成千上万个页面
  • 智能爬行程序检测 web 服务器类型和应用程序语言
  • Acunetix 检索并分析网站,包括 flash 内容、SOAP 和 AJAX
  • 端口扫描 web 服务器并对在服务器上运行的网络服务执行安全检查
  • 可导出网站漏洞文件
更多介绍可参考:传送门
AWVS和Burp Suite一样高度自动化,AWVS界面则更简单直观,主界面即可看到AWVS提供的所有功能、实用工具:
  • 全站扫描
  • 爬虫
  • 端口扫描
  • 盲注测试
  • 子域名探测
  • HTTP编辑器
  • ……
通过单击’New Scan’即可开始一次漏洞扫描,首先输入漏洞扫描测试域名:’demo.testfire.net’,单击’Next’即可对本次扫描进行一些配置——如扫描漏洞类型、登录选项、是否检测其他主机,本次为功能体验,直接点击Next、Finish完成配置即可,AWVS即会开始对目标网站进行漏洞扫描,并最终展示扫描结果。
观察漏扫结果,目标网站存在SQL注入漏洞,且AWVS标明了漏洞路径和漏洞利用方法,结合AWVS提示,访问存在漏洞的页面:http://demo.testfire.net/bank/login.aspx,发现是一个登录界面,AWVS提示其uid(对应表单Username)与pwd(对应表单Password)字段均存在注入漏洞,于是,尝试输入万能帐号密码' or '1'='1进行注入尝试,最终成功登录(由于是测试网站所以漏洞利用都很简单)。






同时,AWVS还支持B/S结构的扫描方式——即可以通过AWVS安装至服务器中,通过Web访问形式控制AWVS进行漏扫。
在Tools Explorer中,选择’Configuration’->’Application Setting’->’Scheduler’,单击’Change administrative password’填写远程访问所需用户名及密码,然后勾选’Allow remote computers to connect’,’Apply’即可。
输入https://IP:8183 (端口可自行设定)即可通过Web页面配置漏扫任务。可配置选项:
  • 扫描整站或页面
  • 扫描周期:仅一次、每天、每周、每月
  • 扫描启动时间(HH:MM)
  • 扫描配置
  • 扫描模式
  • 重要时间规避(指定时间不做扫描)
  • 报告生成方式

AppScan

AppScan可扫描、检测常见的Web应用安全漏洞,属于商业级漏洞扫描、检测安全工具。
近年,IBM为AppScan引进了一个新的组件——Glass Box,引入了运行时分析技术,提高扫描的精确度,有利于发现更多的漏洞。具体介绍可参见:传送门
AppScan的特性和功能:
由于没有下载安装AppScan,而其功能和界面、结果呈现跟AWVS相似,故不做更多介绍。
值得一提的是,AppScan支持用户自定义工具,打开’工具’->’PowerTool’->’外部工具’,单击’添加’按钮即可完成自定义工具的添加——如菜刀。

0 评论:

发表评论