AWVS介紹
 
Acunetix Web Vulnerability Scanner（AWVS）是用于測(cè)試和管理Web應(yīng)用程序安全性的平臺(tái)，能夠自動(dòng)掃描互聯(lián)網(wǎng)或者本地局域網(wǎng)中是否存在漏洞，并報(bào)告漏洞。
1. AWVS簡(jiǎn)介
Acunetix Web Vulnerability Scanner（AWVS）可以掃描任何通過(guò)Web瀏覽器訪問(wèn)和遵循HTTP/HTTPS規(guī)則的Web站點(diǎn)。適用于任何中小型和大型企業(yè)的內(nèi)聯(lián)網(wǎng)、外延網(wǎng)和面向客戶、雇員、廠商和其它人員的Web網(wǎng)站。
AWVS可以通過(guò)檢查SQL注入攻擊漏洞、XSS跨站腳本攻擊漏洞等漏洞來(lái)審核Web應(yīng)用程序的安全性。
1.1 AWVS功能及特點(diǎn)

1. 自動(dòng)的客戶端腳本分析器，允許對(duì)Ajax和Web2.0應(yīng)用程序進(jìn)行安全性測(cè)試
2. 業(yè)內(nèi)最先進(jìn)且深入的SQL注入和跨站腳本測(cè)試
3. 高級(jí)滲透測(cè)試工具，例如HTPP Editor和HTTP Fuzzer
4. 可視化宏記錄器幫助您輕松測(cè)試web表格和受密碼保護(hù)的區(qū)域
5. 支持含有CAPTHCA的頁(yè)面，單個(gè)開始指令和Two Factor（雙因素）驗(yàn)證機(jī)制
6. 豐富的報(bào)告功能，包括VISA PCI依從性報(bào)告
7. 高速的多線程掃描器輕松檢索成千上萬(wàn)的頁(yè)面
8. 智能爬行程序檢測(cè)web服務(wù)器類型和應(yīng)用程序語(yǔ)言
9. Acunetix檢索并分析網(wǎng)站，包括flash內(nèi)容，SOAP和AJAX
10. 端口掃描web服務(wù)器并對(duì)在服務(wù)器上運(yùn)行的網(wǎng)絡(luò)服務(wù)執(zhí)行安全檢查
11. 可到處網(wǎng)站漏洞文件

1.2 AWVS工作原理

1. 掃描整個(gè)網(wǎng)絡(luò)，通過(guò)跟蹤站點(diǎn)上的所有鏈接和robots.txt來(lái)實(shí)現(xiàn)掃描，掃描后AWVS就會(huì)映射出站點(diǎn)的結(jié)構(gòu)并顯示每個(gè)文件的細(xì)節(jié)信息。
2. 在上述的發(fā)現(xiàn)階段或者掃描過(guò)程之后，AWVS就會(huì)自動(dòng)地對(duì)所發(fā)現(xiàn)的每一個(gè)頁(yè)面發(fā)動(dòng)一系列的漏洞攻擊，這實(shí)質(zhì)上是模擬一個(gè)黑客的攻擊過(guò)程（用自定義的腳本去探測(cè)是否有漏洞） 。WVS分析每一個(gè)頁(yè)面中需要輸入數(shù)據(jù)的地方，進(jìn)而嘗試3所有的輸入組合。這是一個(gè)自動(dòng)掃描階段 。
3. 在它發(fā)現(xiàn)漏洞之后，AWVS就會(huì)在“Alerts Node(警告節(jié)點(diǎn))”中報(bào)告這些漏洞，每一個(gè)警告都包含著漏洞信息和如何修補(bǔ)漏洞的建議。

2. AWVS的使用
2.1 AWVS頁(yè)面簡(jiǎn)介
主菜單功能介紹：主菜單共有5個(gè)模塊，分別為Dashboard、Targets、Vulnerabilities、Scans和Reports。

1. Dashboard：儀表盤，顯示掃描過(guò)的網(wǎng)站的漏洞信息
2. Targets：目標(biāo)網(wǎng)站，需要被掃描的網(wǎng)站
3. Vulnerabilities：漏洞，顯示所有被掃描出來(lái)的網(wǎng)站漏洞
4. Scans：掃描目標(biāo)站點(diǎn)，從Target里面選擇目標(biāo)站點(diǎn)進(jìn)行掃描
5. Reports：漏洞掃描完成后生成的報(bào)告

設(shè)置菜單功能介紹：設(shè)置菜單共有8個(gè)模塊，分別為Users、Scan Types、Network Scanner、Issue Trackers、Email Settings、Engines、Excluded Hours、Proxy Settings

1. Users：用戶，添加網(wǎng)站的使用者、新增用戶身份驗(yàn)證、用戶登錄會(huì)話和鎖定設(shè)置
2. Scan Types：掃描類型，可根據(jù)需要勾選完全掃描、高風(fēng)險(xiǎn)漏洞、跨站點(diǎn)腳本漏洞、SQL 注入漏洞、弱密碼、僅爬網(wǎng)、惡意軟件掃描
3. Network Scanner：網(wǎng)絡(luò)掃描儀，配置網(wǎng)絡(luò)信息包括地址、用戶名、密碼、端口、協(xié)議
4. Issue Trackers：?jiǎn)栴}跟蹤器，可配置問(wèn)題跟蹤平臺(tái)如github、gitlab、JIRA等
5. Email Settings：郵件設(shè)置，配置郵件發(fā)送信息
6. Engines：引擎，引擎安裝刪除禁用設(shè)置
7. Excluded Hours：掃描時(shí)間設(shè)置，可設(shè)置空閑時(shí)間掃描
8. Proxy Settings：代理設(shè)置，設(shè)置代理服務(wù)器信息

3. 驗(yàn)證漏洞的真實(shí)性
根據(jù)針對(duì)公司多個(gè)項(xiàng)目的掃描，得到了幾種常見的漏洞情況，以下是這幾種漏洞的驗(yàn)證方法：
3.1 SQL盲注/SQL注入
驗(yàn)證方法：利用sqlmap，GET、POST方式可以直接sqlmap -u “url”，cookie SQL注入新建txt文檔把請(qǐng)求包大數(shù)據(jù)復(fù)制粘貼到里面，再利用sqlmap -r “xxx.txt”，查尋是否存在注入點(diǎn)。
sqlmap使用教程可參考：www.acunetix.com/vulnerabili…
3.2 CSRF跨站偽造請(qǐng)求攻擊
CSRF，利用已登錄的用戶身份，以用戶的名義發(fā)送惡意請(qǐng)求，完成非法操作。
舉例說(shuō)明：用戶如果瀏覽并信任了存在CSRF漏洞的網(wǎng)站A，瀏覽器產(chǎn)生了相應(yīng)的cookie，用戶在沒(méi)有退出該網(wǎng)站的情況下，訪問(wèn)了危險(xiǎn)網(wǎng)站B 。危險(xiǎn)網(wǎng)站B要求訪問(wèn)網(wǎng)站A，發(fā)出一個(gè)請(qǐng)求。瀏覽器帶著用戶的cookie信息訪問(wèn)了網(wǎng)站A，因?yàn)榫W(wǎng)站A不知道是用戶自身發(fā)出的請(qǐng)求還是危險(xiǎn)網(wǎng)站B發(fā)出的請(qǐng)求，所以就會(huì)處理危險(xiǎn)網(wǎng)站B的請(qǐng)求，這樣就完成了模擬用戶操作的目的。
驗(yàn)證方法：

1. 同個(gè)瀏覽器打開兩個(gè)頁(yè)面，一個(gè)頁(yè)面權(quán)限失效后，另一個(gè)頁(yè)面是否可操作成功，如果仍然能操作成功即存在風(fēng)險(xiǎn)。
2. 使用工具發(fā)送請(qǐng)求，在http請(qǐng)求頭中不加入referer字段，檢驗(yàn)返回消息的應(yīng)答，應(yīng)該重新定位到錯(cuò)誤界面或者登錄界面。

3.3 HTTP緩慢拒絕服務(wù)攻擊
HTTP緩慢拒絕服務(wù)攻擊是指以極低的速度往服務(wù)器發(fā)送HTTP請(qǐng)求。由于Web Server對(duì)于并發(fā)的連接數(shù)都有一定的上限，因此若是惡意地占用住這些連接不釋放，那么Web Server的所有連接都將被惡意連接占用，從而無(wú)法接受新的請(qǐng)求，導(dǎo)致拒絕服務(wù)。要保持住這個(gè)連接，RSnake構(gòu)造了一個(gè)畸形的HTTP請(qǐng)求，準(zhǔn)確地說(shuō)，是一個(gè)不完整的HTTP請(qǐng)求。
驗(yàn)證方法可參考：
www.acunetix.com/vulnerabili…
3.4 源代碼泄露
攻擊者可以通過(guò)分析源代碼來(lái)收集敏感信息（數(shù)據(jù)庫(kù)連接字符串、應(yīng)用程序邏輯）。此信息可用于進(jìn)行進(jìn)一步攻擊。
驗(yàn)證方法：在url后加/.svn/all-wcprops或者使用工具SvnExploit測(cè)試
3.5 文件信息泄露
開發(fā)人員很容易上傳一些敏感信息如：郵箱信息、SVN信息、內(nèi)部賬號(hào)及密碼、數(shù)據(jù)庫(kù)連接信息、服務(wù)器配置信息，導(dǎo)致文件信息泄露。
驗(yàn)證方法可參考：www.acunetix.com/vulnerabili…
4. 總結(jié)
AWVS給出的掃描結(jié)果并不代表完全真實(shí)可靠，還需要依靠人工再次驗(yàn)證判斷。在AWVS掃描結(jié)果基礎(chǔ)上，根據(jù)不同的嚴(yán)重級(jí)別進(jìn)行排序、手工+工具驗(yàn)證的方式對(duì)漏洞驗(yàn)證可靠性，排除誤報(bào)的情況，并盡可能找出漏報(bào)的情況，把本次掃描結(jié)果匯總，對(duì)以上已驗(yàn)證存在的安全漏洞排列優(yōu)先級(jí)、漏洞威脅程度，并提出每個(gè)漏洞的修復(fù)建議?？偟膩?lái)說(shuō)我們可以借助這個(gè)工具來(lái)進(jìn)行掃描分析，但不能完全依賴于這個(gè)工具。