网站漏洞扫描工具-Acunetix

简介：
Acunetix Web Vulnerability Scanner（简称AWVS）是一款知名的自动化网络漏洞扫描工具，它通过网络爬虫测试你的网站安全，检测流行安全漏洞。它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序。适用于任何中小型和大型企业的内联网、外延网和面向客户、雇员、厂商和其它人员的Web网站。WVS可以通过检查SQL注入攻击漏洞、XSS跨站脚本攻击漏洞等漏洞来审核Web应用程序的安全性。

AWVS官网：https://www.acunetix.com/
环境部署：Windows或Linux均可（老规矩，安装非常简单，我在这里仅演示以Docker容器方式安装教程，其他方式不会自行百度安装，不在这里赘述了）

Docker安装教程：

pull 拉取下载镜像

docker pull secfa/docker-awvs

将Docker的3443端口映射到物理机的 13443端口

docker run -it -d -p 13443:3443 secfa/docker-awvs

容器的相关信息
awvs13 username: admin@admin.com
awvs13 password: Admin123
AWVS版本：13.0.200217097

浏览器访问：https://127.0.0.1:13443/ 即可

工作方式：

1.它将会扫描整个网站，它通过跟踪站点上的所有链接和robots.txt 实现扫描。然后WVS就会映射出站点的结构并显示每个文件的细节.
2.在上述的发现阶段或扫描过程之后，WVS就会自动地对所发现的每一个页面发动一系列的漏洞攻击， 这实质上是横拟黑客的攻击过程，这是一个自动扫描阶段。
3.在它发现漏洞之后，WVS就会在”Alerts Node (警告节点）”中报告这些漏洞. 每一个报告都包含着漏洞信息和如何修复漏洞的建议.再扫一次,它会将结果保存为文件以备曰后分析以及与以前的扫描相比较，使用报告工具，就可以创建一个专业的报告来总结这次扫描.

功能介绍

1. WebScanner：全站扫描，Web安全漏洞扫描
2. Site Crawler：爬虫功能，遍历站点目录结构
3. Target Finder：端口扫描，找出web服务器
4. Subdomain Scanner：子域名扫描器，利用DNS查询
5. Blind SQL Injector：盲注工具
6. HTTP Editor：http协议数据包编辑器
7. HTTP Sniffer：HTTP协议嗅探器
8. HTTP Fuzzer：模糊测试工具
9. Authentication Tester：Web认证破解工具
10. Web Srevice Scanner：Web服务扫描器
11. Web Srevice Editor：Web服务编辑器

特点：

1. 自动的客户端脚本分析器，允许对 Ajax 和 Web 2.0 应用程序进行安全性测试。
2. 业内最先进且深入的 SQL 注入和跨站脚本测试
3. 高级渗透测试工具，例如 HTTP Editor 和 HTTP Fuzzer
4. 可视化宏记录器帮助您轻松测试 web 表格和受密码保护的区域
5. 支持含有 CAPTHCA 的页面，单个开始指令和 Two Factor（双因素）验证机制
6. 丰富的报告功能，包括 VISA PCI 依从性报告
7. 高速的多线程扫描器轻松检索成千上万个页面
8. 智能爬行程序检测 web 服务器类型和应用程序语言
9. Acunetix 检索并分析网站，包括 flash 内容、SOAP 和 AJAX
10. 端口扫描 web 服务器并对在服务器上运行的网络服务执行安全检查
11. 可导出网站漏洞文件

使用方法：

1.登录进入AWVS控制面板。

2.添加扫描目标，并设置好对应扫描参数，例如扫描等级，UA等。

3.等待结束，查看扫描结果。

附windows和linux安装方法：

AWVS安装与激活

windows 安装

AWVS下载地址：https://pan.baidu.com/s/1hA83j7iUP7cVKZAIp9A8QA?pwd=zhzx

1.解压 awvs14补丁.zip

2.双击 acunetix_14.1.210316110.exe 安装

3.点击【是】

4.点击【Next】

5.点击【I accept the agreement 】,点击【Next】

6.选择喜欢的位置安装，点击【Next】

7.选择喜欢的位置保存 Data，点击【Next】

8.输入账号名：admin@msb.com,密码：m123456@，点击【Next】

9.选择【Allow remote access to Acunetix】，选择IP，点击【Next】

10.点击【Next】

11.点击【install】

12.等待安装完成

13.点击【是】

14.最后完成，点击【Finsh】

15.右键【我的电脑】，点击【管理】，选择【服务和应用成序】,点击【服务】

16.右键【Acunetix】和【Acunetix Database】，停止Acunetix和Acunetix Database服务

17.将【awvs14补丁】里的【license_info.json】 复制到【D:\ProgramData\Acunetix\shared\license】，点击【替换】

18.将【awvs14补丁】里的【wa_data.dat】复制到【D:\ProgramData\Acunetix\shared\license】

19.将【awvs14补丁】里的【wvsc.exe】复制到【D:\Program Files (x86)\Acunetix\14.1.210316110】

20.右键【Acunetix】和【Acunetix Database】，启动 Acunetix和Acunetix Database服务

21.刷新浏览器的管理页面，点击【高级…】,点击【接受风险并继续】

22.登录管理员账号 admin@msb.com,密码：m123456@

kali 安装AWVS

1.将acunetix_trial.sh 和 patch_awvs 复制到kali中

2.修改 acunetix_trial.sh 和 patch_awvs 权限

chmod 777 acunetix_trial.sh patch_awvs

3.执行安装命令

./acunetix_trial.sh

4.点击enter键继续

5.一直按住enter键继续

6.输入yes，点击 【回车】

7.输入主机名称，点击【回车】

8.输入email ：【admin@msb.com】点击【回车】

9.输入Password：【m123456@】点击回车，输入【m123456@】，点击回车

10.等待安装完成

11.把破解补丁复制到指定目录下，并设置好权限，直接运行即可

cp -a patch_awvs /home/acunetix/.acunetix_trial/v_190325161/scanner/
chmod 777 /home/acunetix/.acunetix_trial/v_190325161/scanner/patch_awvs
/home/acunetix/.acunetix_trial/v_190325161/scanner/patch_awvs

12.为了保护原始license不失效，这里尽快执行如下的命令，不然license会被修改然后就无法破解成功。

chattr +i /home/acunetix/.acunetix_trial/data/license/license_info.json
rm -fr /home/acunetix/.acunetix_trial/data/license/wa_data.dat
touch /home/acunetix/.acunetix_trial/data/license/wa_data.dat
chattr +i /home/acunetix/.acunetix_trial/data/license/wa_data.dat

13.重新启动AWVS进程

systemctl restart acunetix_trial.service #重启进程
systemctl start acunetix_trial.service   #启动进程
systemctl stop acunetix_trial.service    #停止进程
systemctl status acunetix_trial.service  #查看进行状态 

14.访问：https://127.0.0.1:13443/ 进入AWVS首页，点击【Advanced…】,点击【Accept the Risk and Continue】

15.输入用户名：admin@msb.com,密码：m123456@ 进行登录