AWVS是Acunetix Web Vulnerability Scanner的缩写

它是一个自动化的Web应用程序安全测试工具,审计检查漏洞。

它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序。可以通过检查SQL注入攻击漏洞、跨站脚本攻击漏洞等来审核Web应用程序的安全性。

它包含有收费和免费两种版本,

AWVS官方网站是:http://www.acunetix.com/,

目前最新版是Acunetix v13版本,官方下载地址

https://www.acunetix.com/vulnerability-scanner/download/

官方免费下载的是试用14天的版本

https://www.acunetix.com/web-vulnerability-scanner/demo/

如果企业使用,建议购买正版,这个仅仅是研究使用。比如某些

小厂需要煞有介事的给企业出局报告,或者自己做下内检,还是比较合适的

报告也比较友好。能根据关键字去解决漏洞问题。

直接走Docker环境比较方便

Docker

# pull 拉取下载镜像

docker pull secfa/docker-awvs

# 将Docker的3443端口映射到物理机的 13443端口

docker run -it -d -p 13443:3443 secfa/docker-awvs

# 容器的相关信息

awvs13 username: admin@admin.com

awvs13 password: Admin123

AWVS版本:13.0.200217097

浏览器访问即可 https://127.0.0.1:13443/

我的具体过程如下:如果拉取不到我回头可以做一个放到百度云 哈

另外我的过程中也介绍了如何打包存储

➜ ~ docker pull secfa/docker-awvs Using default tag: latest latest: Pulling from secfa/docker-awvs da7391352a9b: Pull complete 14428a6d4bcd: Pull complete 2c2d948710f2: Pull complete 92d53db52715: Downloading 71.92MB/327.7MB dddab6abad69: Download complete 92d53db52715: Pull complete dddab6abad69: Pull complete Digest: sha256:f10492ebd89a900ac0bba810690b621a839fefc1026bfc3a99ae54ac423742a0 Status: Downloaded newer image for secfa/docker-awvs:latest docker.io/secfa/docker-awvs:latest ➜ ~ docker run -it -d -p 13443:3443 secfa/docker-awvs 03b4d184c1ad21e1cd63edbb176714e57b2451d501d7bb8b3029b0b46f87a642 ➜ ~ docker images -a|grep awvs secfa/docker-awvs latest 5c1a22cc10bd 6 days ago 1.04GB 镜像查看 ➜ ~ docker ps -a|grep awvs 03b4d184c1ad secfa/docker-awvs "/bin/su acunetix /h…" 35 minutes ago Up 35 minutes 0.0.0.0:13443->3443/tcp relaxed_keller 保存镜像 ///如果需要保存这个镜像为03b4d184c1ad 为docker镜像的ID docker save 03b4d184c1ad > awvs.tar 导入镜像 将之前导出的镜像文件保存到另外一台服务器 docker load < awvs.tar ➜ ~ docker exec -it 03b4d184c1ad /bin/bash root@03b4d184c1ad:/# root@03b4d184c1ad:/# cat /etc/issue Ubuntu 20.04.1 LTS \n \l root@03b4d184c1ad:~# cat /home/acunetix/.acunetix/start.sh #!/bin/bash version=v_201006145 db_port=35432 product_name=acunetix engine_only=0 if [ $engine_only != 1 ]; then echo "attempting to stop previous database" ~/.$product_name/$version/database/bin/pg_ctl -D ~/.$product_name/db -w stop echo "attempting to start the db" setsid ~/.$product_name/$version/database/bin/pg_ctl -D ~/.$product_name/db -o "--port=$db_port" -w start fi echo "attempting to start the backend" cd ~/.$product_name/$version/backend/ ~/.$product_name/$version/backend/opsrv --conf ~/.$product_name/wvs.ini backend_exit_code=$? echo "backend exited with" $backend_exit_code if [ $engine_only != 1 ]; then echo "attempting to stop the database" ~/.$product_name/$version/database/bin/pg_ctl -D ~/.$product_name/db -w stop fi echo "bye." exit $backend_exit_code

https://127.0.0.1:13443/

浏览器会有告警:直接信任就OK,其他操作都是默认的浏览器点击了。

主机漏洞和web漏洞扫描(WEB漏洞扫描器-AWVS)(1)

给一个简单的报告截图:

主机漏洞和web漏洞扫描(WEB漏洞扫描器-AWVS)(2)

主机漏洞和web漏洞扫描(WEB漏洞扫描器-AWVS)(3)

报告还是比较详尽的:

主机漏洞和web漏洞扫描(WEB漏洞扫描器-AWVS)(4)

继续

主机漏洞和web漏洞扫描(WEB漏洞扫描器-AWVS)(5)

如上。作为报告生成是一个不错的选择

,