AWVS

工具 AWVS

https://www.cntofu.com/book/36/工具篇 AWVS.md
https://www.pianshen.com/article/9815907537/

AWVS 即 Acunetix Web Vulnerability Scanner， 是⼀个⽹站及服务器漏洞扫描软件。

⾃动的客户端脚本分析器，允许对 Ajax 和 Web 2.0 应⽤程序进⾏安全性测试。
业内最先进且深⼊的 SQL 注⼊和跨站脚本测试
⾼级渗透测试⼯具，例如 HTTP Editor 和 HTTP Fuzzer
可视化宏记录器帮助您轻松测试 web 表格和受密码保护的区域
⽀持含有 CAPTHCA 的页⾯，单个开始指令和 Two Factor（双因素）验证机制
丰富的报告功能，包括 VISA PCI 依从性报告
⾼速的多线程扫描器轻松检索成千上万个页⾯
智能爬⾏程序检测 web 服务器类型和应⽤程序语⾔
Acunetix 检索并分析⽹站，包括 flash 内容、SOAP 和 AJAX
端⼝扫描 web 服务器并对在服务器上运⾏的⽹络服务执⾏安全检查

web渗透中⽤的⾮常多的⼀个扫描器，⾼效。⽐ Burp Suite 综合性⾼，⽐ App scan 轻量。

使⽤这种综合扫描器的前提是确认目标没有特别的防护，且跟⽬标的通信⽹络相对较好，不会出现卡顿的现象。

一般的小网站可能会出现比较明显的漏洞，可找小网站去练手，找自信
大型网站的话，就没那么容易出现明显的漏洞了，可找到小漏洞，明显的漏洞已经被挖掘过了，但是可从几个小漏洞形成大攻击
一定要从思想上改变挖洞，不要觉得大网站挖洞难，强者姿态面对目标，有信心

漏洞扫描器的意义和利用思维

什么是漏洞扫描？有什么用？

针对某种漏洞进行发掘的工具；对网站进行发现挖掘的

为什么会有扫描器的出现？

有人需要，代替人工进行挖掘

用工具会不会被认为是脚本小子？

合理运用工具，切记不要只会用。

扫描器扫描不出漏洞是不是就意味着目标没有漏洞？

不是，可能对方网站的防护做的好，发现特征做防御措施；工具不行，人工上，掌握探索漏洞的方法，学习别人的探索方法，并进行改良适应自己，创新，有可能找到漏洞

如何正确使用扫描器？

在面对中大型网站时候，如果使用扫描器，可能会被屏蔽拉黑ip，我们可先使用手工进行探测，逐步慢慢进行收集，从而发现它的防护，但收集并不能齐全，在分析使用扫描样的扫描器；如果没有防护，可以直接使用扫描器；

扫描器有哪些？

http://sectoolmarket.com/price-and-feature-comparison-of-web-application-scanners-unified-list.html