2.2.3 AWVS

AWVS全稱為Acunetix Web Vulnerability Scanner，中文翻譯為Acunetix網站漏洞掃描器，這是一款十分出名的自動化漏洞掃描工具。它支持自動爬取目標站點鏈接等，并能進行包括但不限于跨站腳本漏洞、SQL注入漏洞、CSRF漏洞的檢測，在檢測完畢之后您可以在AWVS掃描器的圖形化管理平臺中看到所有的檢測詳情。

AWVS由Acunetix公司開發，只有商業版本，您可以選擇在其官網上購買商業激活授權，支持Windows和Linux平臺。AWVS 11版之前圖形界面在獨立窗口中顯示，自11版開始Acunetix公司將此掃描器的圖形界面集成到了網頁中。

在安裝完畢并啟動最新版AWVS之后，您可以在瀏覽器中訪問來到如圖2-19所示的AWVS登錄界面。

注意：在一些瀏覽器中可能會出現證書錯誤的提示，您需要在對應的瀏覽器或者對應系統中選擇信任AWVS證書。

當滲透測試人員輸入登錄密碼之后，讀者需要首先在“目標”一欄通過選擇“單個目標”或“多個目標”來創建任意數量的掃描目標，并且您可以為您的每一個目標添加一個“描述”內容，之后您只需要點擊保存即可。

在AWVS中添加目標如圖2-20所示。

在保存了掃描目標之后滲透測試人員將會看到“目標信息”設置環境界面，此時滲透測試人員可以修改掃描模式、掃描速度、業務關鍵性等許多內容，之后只需要點擊系統右上方的“掃描”按鈕即可開始掃描工作。AWVS配置掃描如圖2-21所示。

當掃描開始之后，滲透測試人員便可以點擊“掃描”選項卡內查看相應的掃描記錄。在掃描還在進行中時滲透測試人員可以點擊右上方的“停止掃描”或“暫停掃描”按鈕來結束或者暫緩掃描。在掃描信息選項卡中讀者可以看到當前掃描的進度及目標信息、最新警報等信息。

AWVS掃描結果界面如圖2-22所示。

同時AWVS掃描器還支持在“網站結構”選項卡內查看當前掃描出來的網站結構樹，我們點擊對應的頁面之后掃描器還會在右側區域內顯示對應頁面是否存在系統漏洞。在AWVS中查看網站結構如圖2-23所示。

當然，我們無須在“網站結構”內對所有的頁面進行逐一點擊然后檢查是否存在漏洞，AWVS在“漏洞”選項卡內提供了所有掃描項目的漏洞清單。當滲透測試人員點擊了對應的漏洞之后讀者便可在AWVS界面右側看到漏洞詳細信息：HTTP請求/響應包內容、此漏洞的影響（危害）、如何修復此漏洞等。在如圖2-24 在AWVS中查看單個漏洞詳情的示例掃描中，我們發現AWVS掃描器檢測出了一個“目錄列表”（列目錄）漏洞。

接著作者在瀏覽器中訪問對應的地址，我們發現漏洞確實存在，成功顯示了對應服務器上的目錄結構。

服務器存在列目錄漏洞如圖2-25所示。

作為一款商業化的掃描器，AWVS可以自動生成PDF及HTML格式的滲透測試報告，您只需要點擊“報告”選項卡中下載區域的按鈕即可。當然任何的掃描器都有可能產生誤報，并且不同公司對測試報告都有自己的要求，在大多數情況下掃描器生成的報告并不能直接作為正式報告使用。

AWVS報告生成界面如圖2-26所示。

除了常規的掃描功能，滲透測試人員還可以在左側工具欄下半部分中對掃描器做一些設置，在“用戶”一欄中滲透測試人員可以添加多個系統用戶并且配置賬戶安全策略，在“Scan Profiles”一欄中滲透測試人員可以配置不同的掃描策略以滿足不同環境下的測試需要。