- 登录AWVS,选择targets
1.png
-
点击targets,选择Add Target
2.png
- 输入待扫描的路径(待扫描的路径为可登陆的地址)
3
点击右下角的Add Target
4
4.选择Site Login下的**Use pre-recorded login sequence,点击Launch Login Sequence Recorder
5
5. 选择启动应用
6
- 选择一个用户进行登录
7.png
- 登录进系统后,每个功能尽量都点一下,功能点击完成后,点击右下角的Finish
8.png
9.png
- 再次返回到之前的页面,点击导入文件按钮,导入0828.lsr
10
- save保存一下后,点击scan开始扫描
11
- Scan Type选择Full Scan,Report选择Affected Items,Schedule选择Instant
12
- 点击create scan,等待扫描结果,扫描结果如下
13
14
在我已有的经验中,扫描结果只需要关注如下几类问题:
-
AWVS扫描出现User credentials are sent in clear text(用户凭证信息泄露)表示存在明文传输漏洞。
-
AWVS扫描出现Host Head Attack,表明存在CSRF漏洞
-
使用AWVS扫描出来Slow Http Denial of Service Attack 说明存在DDos攻击漏洞。
网友评论