【介绍】

AWVS一贯都是国内外用户的首选系统安全防护应用，目前已经更新到了12版本，该应用没有国内同类型应用的广告推广的侵扰，全天候防护用户的上网以及本地电脑的系统安全，在后台自动检测并查找出电脑的安全漏洞隐患，下载下来静默安装，提示用户定时或者直接重启运用，使得系统始终处于健康的状态。

AWVS12功能

1、配置扫描过程并生成准确的报告。

2、检查您的网站是否存在低、中、高严重性漏洞。

3、针对web应用程序和相关内容。

4、能够扫描和检测各种各样的曝光。

AWVS12特色

漏洞扫描程序

1、防火墙、ssl和加固的网络对web应用程序黑客攻击是徒劳的。

2、自动化web应用安全的技术领先者

3、快速、准确、易用

深入爬网和分析

1、利用deepscan技术精确抓取和扫描

2、免费认证的web应用程序测试

3、恶意软件URL检测

最高检测率

1、深入的SQL注入和跨站点脚本（XSS）漏洞测试

2、高级自动化基于dom的xss漏洞测试

3、检测盲xss、xxe、ssrf、主机头攻击和电子邮件头注入

最低误报率

1、基于acusensor的交互式安全测试

2、精确定位漏洞的位置

3、后端文件爬网

4、最低假阳性率

5、acusensor以100%的准确率检测关键漏洞

漏洞管理

1、从一个统一的角度看您的漏洞管理程序

2、跟踪问题，而不是PDF

3、高级管理和合规报告

WordPress检查

1、扫描易受攻击的WordPress插件

2、wordpress配置文件泄漏

3、用户名枚举和弱密码猜测

网络安全

1、扫描外围网络服务

2、测试网络漏洞

3、检测网络安全管理信息系统配置

高级功能

1、进一步进行自动扫描

2、自动Web应用程序防火墙（WAF）配置

3、集成性和可扩展性

awvs12安装教程

1、运行安装程序

2、在安装界面中点击next

3、勾选同意条款，点next

4、填写邮箱、密码和确认密码，点next

5、勾选后点击next

6、继续点next

7、确认安装路径以及个人信息后点install

8、等待安装完成

9、完成安装

awvs12教程

1、复制补丁包至安装的目录内

2、以管理员的身份打开并应用该补丁包

3、点击应用按钮

4、键入任意数据信息

5、完成激活

awvs12使用教程

awvs12扫描失败

1、如果很容易吧对方扫死的话，可以在第一项limit number..，这里是最大的并发连接数默认是10，可以改低为2-5

某些WAF对访问请求时间太快会进行拦截，可以进行延迟发包，在Delay between 默认是0，改为1-5

2、表单验证用户某些页面，例如扫描后台、扫描用户登录后可访问的页面时候，需要登录用户密码验证再进行扫描，我觉得那个录制登录的脚本始终没法解决验证码的问题，so这里我们用设置cookie 来解决

3、设置排除url，比如退出登录这样的链接，会清除cookie和session，导致扫描终止，先找到退出链接！

4、有时候一些页面需要二级密码，这就需要预置好表单自动填充，首先我们用浏览器F12看看表单的名称name，然后进入AWVS设置

5、例如在HTML表单提交中出现age的字段，则会自动填写值为20。字段中：*web*中的是含有通配符的表示形式，例如1web2这样的就是满足*web*，当然可以不加任何通配符，例如password2

6、完成后点击右下角的apply

awvs12漏洞利用

1、其中红色的是代表高危漏洞、黄色的为中危漏洞、绿色的为低危漏洞。

最下面的site struture 为爬取到的文件和文件夹。

2、一般关注中高危漏洞，以及爬取得页面文件是否有敏感文件

3、漏洞详细信息可以点进去，查看具体的分析，如下图：

4、因为全是英文的，而且很多新漏洞，确实不知道意思的话，可以直接复制网上搜索下。

5、 比如这是最常见的SSRF漏洞，这种情况直接删除uddiexplorer目录即可消除漏洞

6、下面是弱口令漏洞 weak password。可以点进去查看若口令密码的。直接更改密码吧。

7、最后再说一个也是很常见的XSS漏洞。XSS漏洞即是：用户提交的数据在未进行白名单验证的情况下输出在返回页面中。如果是已被awvs验证的xss漏洞，会有verified标记。

awvs怎么批量扫描

Acunetix wvs_console是一个基于命令行的小工具，console的工作原理跟GUI是一样的。在某种情况直接使用console比在GUI下点来点去更为方便。

常用选项：

/Scan 设置扫描的URL 如：/Scan http://www.demo.com/

/Scanlist 设置扫描文件。如：/scan C:\list.txt 扫描list.txt中的URL

/Profile 指定扫描策略，wvs提供了多种策略文件，在Data/profiles下。如：/Profile ws_default，应用profiles下的ws_default策略文件。注意应用策略文件时不要加.profile后缀。

/LoginSeq 指定登录序列。对于一些需要用户登录并通过cookie来识别用户的站点，可以用该选项来指定Logingseq用以扫描一些被限制的资源。loginseq通过LSR来生成，生成的logingseq缺省都存在Data/General/LoginSequences目录下。如：/LoginSeq www.demo.com_login 即应用www.demo.com_login.loginseq同profile选项一样，不要加.loginseq后缀，否则出错，loginseq不起作用

/Save 指定扫描结果保存文件，/save "C\xxx.wvs"

还有很多选项，大家可以去看wvsmanual。

我们可以通过scanlist和比处理两种方式来进行批量扫描。

Scanlist:

1、首先将我们要扫描的网站保存在一个txt文件中，每个站起一行即可。

2、对于一些需要登录的网站，先用LSR生成loginseq。

3、用/scanlist指定网站列表文件。

4、开始扫描，下面是我使用的一些选项。

wvs_console.exe /Scanlist C:\list.txt /Profile ws_default /loginseq "testdemo_login" /save /savetodatabase GetFirstOnly=false FetchSubdirs=true RestrictToBaseFolder=true ForceFetchDirindex=true SubmitForms=true RobotsTxt=true CaseInsensitivePaths=false UseCSA=true UseAcuSensor=true EnablePortScanning=false UseSensorDataFromCrawl=revalidate ScanningMode=Heuristic TestWebAppsOnAllDirs=false ManipHTTPHeaders=true

采用scanlist,列表中站点的扫描是同时进行的，无法设置扫描的优先级，如果需要先对某一些站点进行检查，采用这种方式不是很适合。

批处理还是将网站保存在一个txt中，只不过这次使用批处理逐行读取。

以上就是软件爱好者小编为大家带来的AWVS12下载，想要了解更多实用软件就请多多关注软件爱好者吧~