一、不需要登录的扫描
第一步:点击WEB Scanner,输入目标域名或者IP地址,其余默认,点开start开始
第二步:等待结果即可
二、需要登陆的扫描
有的时候,需要登陆进去扫描网站内容
第一步:新建扫描
第二步:输入目标IP地址,点击next
第三步:很多模块的漏洞测试,选择默认(默认是所有漏洞都检测),点击next
第四步:点击录制用户名密码
打开之后界面如下图所示,输入用户名密码,验证码
点击完成
输入用户名保存
点击next
正在进行登陆测试
登陆成功如下图所示(不成功重新录制用户名、密码、验证码),点击finish完成
完成之后,就会开始漏洞扫描,稍等片刻,便会出现扫描结果。如下图所示
三、需要登陆扫描——用Cookie信息
原因:每次登录的时候,验证码都会更新一次,这样用第二种方法录制的验证码就不正确,登录不成功,也就扫描不了登陆后的网站存在的漏洞
第一步:登陆进后台,获取Cookie信息
第二步:点击NEW Scan
第三步:写上目标IP地址
第三步:点击Customize
选择Custom Cookie再点击+Add Cookie
双击填写URL与Cookie的值
之后一路next直到flash,开始扫描,扫描结果如下图所示
注意:
对于登录页面有验证码的,AWVS扫描的时候带入成功登录网站后的COOKIE信息进行扫描
对于登录页面没有验证码的,输入账号、密码进行扫描
更多资源:
1、web安全工具、渗透测试工具
2、存在漏洞的网站源码与代码审计+漏洞复现教程、
3、渗透测试学习视频、应急响应学习视频、代码审计学习视频、都是2019-2021年期间的较新视频
4、应急响应真实案例复现靶场与应急响应教程
收集整理在知识星球,可加入知识星球进行查看。也可搜索关注微信公众号:W小哥
