欢迎光临
我们一直在努力
"

关于Acunetix v11 WebUI下不得不说的事情!

上了官网把介绍Quick-start影片看了一下,脑中浮现不少疑问.

有些功能就像跟你玩捉迷藏一样的不知藏到哪里去了,以下分别针对Web UI及CLI (wvsc.exe)的功能做了一些整理:

1. AWVSV11装完以后在哪里?

WEB:

https://loaclhost:3443/

WVSC:

C:\Program Files (x86)\Acunetix 11\core\wvsc.exe

2. AWVSV11扫完以后为什么只能汇出PDF或HTML啊???其实…

在新增Target时,开启Debug scans功能,让世界更美好(误)

https://4.bp.blogspot.com/-jFlj48MnXE4/WO4sPTU6unI/AAAAAAAADf4/jiBVNsUfTGgayb9En1o_RUWmXwK8eR0HQCLcB/s1600/report.png

Targets -> Advanced -> Debug scans for this target (打勾)

https://4.bp.blogspot.com/-sf4DX1hF5wM/WO4nMQ7ZNmI/AAAAAAAADfg/42WN9W6lTcEUpGsCcIQDrLNxB_fTIMG1ACLcB/s1600/debugscan.png

之后扫完便会产出三个文件(logfile.csv, results.wvs, settings.xml),放在 C:\ProgramData\Acunetix 11\shared\scans\ 底下,并以zip储存。

https://3.bp.blogspot.com/-XCAOQ87tZzA/WO4nwOBnmvI/AAAAAAAADfo/LRKlYOTRGKcbrg_h8KVfRu2jeoRHBqJ8QCLcB/s1600/sharedscans.png

(WVSC)相较于使用Web UI可以汇出多种格式的结果档,CLI却只提供/save results.wvs的功能。
3. 那若是爬完或扫描完想【导出XML】呢?

Scans -> (点选任一个Scan项目) -> Export to… -> XML

https://4.bp.blogspot.com/-Lzp3Rz5Mqvc/WO4lcCXyMVI/AAAAAAAADfQ/aelQbX3M3uwLAHfEHgxdZOguvnGIahs5gCLcB/s1600/exporttoxml.png

(WVSC)也是没有这个功能…。

 

4. AWVSV11的【爬站】功能哪去了?

Choose Scanning Options -> Scan Type 选择 Crawl Only

https://3.bp.blogspot.com/-gVxRqf_4wa0/WO7fqZYzMLI/AAAAAAAADgI/rJDH9IPBz-I5_xVeuXPWMvtox-OyZD2XwCLcB/s1600/crawlonly.png

(WVSC)这还真是个不能说的秘密,看到指令集里完全没有提及有/crawl相关指令时我心都凉一半了,但经过测试发现,嘿嘿,关键在于指定profile。

在执行Scan或Crawl时,都是使用 /scan,差别在于要完整扫描时,会使用/scan <target> /profile Default,而纯爬站时则使用/scan <target> /profile empty.profile。

例如:

完整扫描

wvsc.exe /scan http://testphp.vulnweb.com /profile Default /log logfile.txt /ls my.lsr /save results.wvs

使用XSS模块扫描

wvsc.exe /scan http://testphp.vulnweb.com /profile xss /log logfile.txt /ls my.lsr /save results.wvs

纯爬站

wvsc.exe /scan http://testphp.vulnweb.com /profile empty.profile /log logfile.txt /ls my.lsr /save results.wvs

多亏了开启Debug scans选项,从log文件看出端倪啦!

5. 如果我想扫描【WebService】呢?

v10.5还有特别独立出来的Web Services功能(Scanner & Editor),但在AWVSV11已经完全找不到踪影。

尝试直接在AWVSV11 Add Target时输入Web Service URL然后启动扫描,并无任何问题。

(让我抱怨一下,玩了好久才发现文件夹的图示,是可以展开的,但前提是一定要点到那个”图标”而不是文字)

另外从log中可看到爬站时能确实辨别WSDL,参考v10.5预设用于Web Services的Profile (ws_default),发现其实所使用的Script与一般的网站扫描无异,只是少了很多XD。

https://3.bp.blogspot.com/--xAPNPck330/WO9BERKDHTI/AAAAAAAADg0/C7MuBEQdw9Qf6-z6U7bQ3KaOqoeiB0uagCLcB/s1600/log_wsdl.png

参考v10.5,Default的Profile为全部勾选,而ws_default只有在PerScheme类别部分勾选而已。
https://1.bp.blogspot.com/-8hKEBkS1yhY/WO9BU-OhdtI/AAAAAAAADg8/MKBVEDU3pMo_iXQxEYwQEbvJw2S_OWpfQCLcB/s1600/ws_default.png

6. AWVSV11的手动检测工具呢?

它们被拆散了,请到官方提供的这里另行下载安装。

安装后可用的手动检测工具包含HTTP Editor、HTTP Sniffer、HTTP Fuzzer、Blind SQL Injector等。

7. 忘记AWVSV11 Web登入密码了..?

安可以去开始菜单Acunetix 11找「Acunetix 11 Administrative Password」,可以直接重设密码。

总之,本次Acunetix大改版,最潮的就是那华丽的Web UI,然后打个比喻原本若是50个功能现在大概只找的到10了吧。

除此之外还有一些显而易见的特色功能:

Dashboard

在扫描期间发现的其他网站,会直接列在Discovered Hosts区块,方便直接create Target。

https://4.bp.blogspot.com/-JYwLcRqXQlM/WO4mx8bCBQI/AAAAAAAADfc/vBovdHEX02w7d4Oha-je5lYSMJhLdppTQCLcB/s1600/discoveredhosts.png

 

Continuous Scanning

目的是让受测系统一直保持在安全状态,所以提供此功能让该Target会自动一周进行一次Full Scan。
Targets -> (选择或新增Target) -> General -> Target Info -> Continuous Scanning (开启)
https://3.bp.blogspot.com/-VgefvtmXnBY/WO74fnsDY5I/AAAAAAAADgg/7B9BaQgaTuImRN2kHKTrDXX_JvDGYHbXQCLcB/s1600/contiscan.png
Role-based multi-user system

AWVSV11提供了一个新的角色概念,让执行扫描及产出报告的动作可由不同角色执行,详细请参考这里。此功能仅支持Enterprise licensed用户。

 

Acunetix CLI可用指令
【Acunetix 11】wvsc.exe
https://2.bp.blogspot.com/-EQxmRgYPq6A/WO2KGW3KmbI/AAAAAAAADe8/JWE2QizOfIIbgBDz-TBAf5AUbVRzQZtEACLcB/s1600/help_10_wvs_console.png

【Acunetix 10】wvs_console.exe

https://1.bp.blogspot.com/-yskDE1iEp0A/WO734imId4I/AAAAAAAADgY/ncGdDJr2lwc3JduUAn5-oykyOh5yAW7kgCLcB/s1600/help_10_wvs_console.png

Acunetix Version: 11.0.170951158(5 April 2017) & 10.5 Build 20160520

参考数据:

Acunetix AWVSV11 Product Manual

Acunetix Web Vulnerability Scanner Command Line Operation

Acunetix Support – Help and Documentation

 

转载请注明: 转载自Legend‘s BLog

本文链接地址: 关于Acunetix v11 WebUI下不得不说的事情!



未经允许不得转载:Legend‘s BLog » 关于Acunetix v11 WebUI下不得不说的事情!

分享到:更多 ()

评论 抢沙发

无觅相关文章插件,快速提升流量