AWVS破解版14.7.220329162

WVS(Web Vulnerability Scanner)是一个自动化的Web应用程序安全测试工具，它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序。适用于任何中小型和大型企业的内联网、外延网和面向客户、雇员、厂商和其它人员的Web网站。WVS可以通过检查SQL注入攻击漏洞、XSS跨站脚本攻击漏洞等漏洞来审核Web应用程序的安全性。

AWVS功能介绍

• WebScanner ：核心功能，web安全漏洞扫描 (深度，宽度 ，限制20个)
• Site Crawler：站点爬行，遍历站点目录结构
• Target Finder ：主机发现，找出给定网段中开启了80和443端口的主机
• Subdomian Scanner ：子域名扫描器，利用DNS查询
• Blind SQL Injector ：盲注工具
• Http Editor http：协议数据包编辑器
• HTTP Sniffer ： HTTP协议嗅探器 （fiddler，wireshark,bp）
• HTTP Fuzzer： 模糊测试工具 (bp)
• Authentication Tester ：Web认证破解工具

基础知识：

• 白盒测试：结构测试，透明盒测试，在知道代码的情况下进行渗透，相当于代码审计
• 黑盒测试：在测试中，把程序看做一个不能打开的黑盒子，在完全不考虑程序内部结构和内部特性的情况中，在程序接口进行测试扫描，什么都不知道
• 灰盒测试：介于白盒测试与黑盒测试之间的一种测试，在服务端设置代理agent 从客户端入手 （有权限去访问）

AWVS如何工作

1. 它会扫描整个网络，通过跟踪站点上的所有链接和robots.txt（如果有的话）而实现扫描。 然后AWVS就会映射出站点的结构并显示每个文件的细节信息。
2. 在上述的发现阶段或者扫描过程之后，WVS就会自动地对所发现的每一个页面发动一系列的漏洞攻击，这实质上是模拟一个黑客的攻击过程。（自定义的脚本,去探测是否有漏洞） AWVS分析每一个页面中需要输入数据的地方，进而尝试所有的输入组合。这是一个自动扫描阶段
3. 在它发现漏洞之后，WVS就会在“Alerts Node(警告节点)”中报告这些漏洞，每一个警告都包含着漏洞信息和如何修补漏洞的建议。
4. 在一次扫描完成之后，它会将结果保存为文件以备日后分析以及与以前的扫描相比较，使用报告工具，就可以创建一个专业的报告来总结这次扫描。

审核漏洞

• 版本检查：包括易受攻击的Web服务器，易受攻击的Web服务器技术
• CGI测试：包括检查Web服务器问题，主要是决定在服务器上是否启用了危险的HTTP方法。例如put 、trace，delete等等
• 参数操纵：主要包括跨站脚本攻击（XSS），SQL注入攻击，代码执行，目录遍历攻击，文件入侵，脚本源代码泄露，CRLF注入，PHP代码注入，XPath注入，LDAP注入，Cookie操纵，URL重定向，应用程序错误消息等。
• 多请求参数操纵：主要是Blind SQL/XPath注入攻击
• 文件检查：检查备份文件或目录，查找常见的文件（如日志文件，应用程序踪迹等），以及URL中的跨站脚本攻击，还要检查脚本错误等
• Web应用程序：检查特定Web应用程序的已知漏洞的大型数据库，例如论坛，Web入口，CMS系统，电子商务应用程序和PHP库等
• GHDB Google攻击数据库，可以检查数据库中1400多条GHDB搜索项目。
• Web服务：主要是参数处理，其中包括SQL注入、Blind SOL注入（盲注），代码执行，XPath注入，应用程序错误消息等。

使用该软件的所提供的手动工具，还可以执行其他的漏洞测试，包括输入合法检查，验证攻击，缓冲区溢出等。

下载：

https://pan.scan.cm/s/DnLip