WEB扫描工具Acunetiwebvulneralityscanner使用说明Word文档格式.docx

WEB扫描工具Acunetiwebvulneralityscanner使用说明Word文档格式.docx

《WEB扫描工具Acunetiwebvulneralityscanner使用说明Word文档格式.docx》由会员分享，可在线阅读，更多相关《WEB扫描工具Acunetiwebvulneralityscanner使用说明Word文档格式.docx（10页珍藏版）》请在冰豆网上搜索。

概览

是一个商业工具，但有一个试用版发行。

在扫描方面可以和APPSCAN相媲美☺

但在漏洞修复建议方面，还是和APPSCAN有差距

工具分为4大块。

简要概述我们最相关的3部分

1）webscanner：

扫描器，默认情况产生10个线程的爬虫

2）工具箱：

集成很多好用的工具，比如httpfuzzer

3）配置：

呵呵，只要懂英文就看得明白

启动扫描

点击newscan

一路默认下去

扫描结果分析

一露脸就是显著的告警

没有密码登录时，扫会发现存在跨站脚本攻击。

我们把眼光聚焦在

点击启动httpeditor

可以看到UID已经被更改成功

再找一个GET请求的

尝试在浏览器输入

/search.aspx?

txtSearch=<

ScRiPt%20%0a%0d>

alert（1433860212）%3B<

/ScRiPt>

Acunetix自身有很好的编解码工具，可以看到URLdecode的结果

urldecode结果

<

ScRiPt>

alert（1433860212）;

Httpeditor

编辑HTTP头以及数据

Httpsniffer

嗅探器。

解决网络通信包

httpfuzzer

生成一组定制的数据

配置

httptuning的参数极大影响系统性能，要很加注意：

）

Acunetix工具结果存放地可以更改。

默认Access.

很不幸，偶电脑没有装access数据引擎。