web渗透测试的过程（Web渗透测试-0x01.AWVS简介）

web渗透测试的过程（Web渗透测试-0x01.AWVS简介）最后一步，直接点击"Finish"开始扫描站点漏洞。这就是创建一个新的登陆序列，模拟登陆后，直接保存退出，继上一步步骤选择，保存的文件，点击下一步（这里可能有点乱，大家要是不清楚百度一下）这里又出现两个框，第一个是让我们选择只扫描什么漏洞，可以指定选择，里面有XXS、SQL、文件上传漏洞等，如果默认就是全部都扫描；第二个框是你要扫描的更快，你就可以在第二个框个性化定制扫描，里面有些参数设置，下一步我会教大家如何使用配置里面的参数，然后点击下一步：网站的一些已经爬行出来了，这里我们可以看到他使用的服务器、版本、语言等信息，我们继续下一步：这里是一个登陆序列，我们可以自己点击新建一个登陆序列，如果有的网站需要账号密码，我们就需要创建一个登陆序列，就是模拟一下登陆，然后软件记住，自动帮助我们登陆进入网站

在扫描发现Web漏洞中，AWVS是最常用的工具，而且效果也比较好，扫描功能包括：XSS、SQL注入、常见弱口令、SSRF、CSRF 、目录遍历等，功能十分强大，所以推荐给大家使用。

在这里给大家简单讲解一下介绍一下简单扫描—HTTP Editor模块。

首先我们创建一个站点扫描，就是把你想扫的域名输入到AWVS当中，我们创建一个站点，对他进行漏洞扫描，AWVS会将我们的站点目录和一些文件爬行出来：

下面有两个框，一个试放入站点测试的目标地址，我们选择填进去就好，我这里是127.0.0.1/dvwa;第二的个框是加载一个爬虫扫描日志，一般测试一个指定目标，我们直接把站点放在第一个框就好了，让后点击"Next"下一步：

这里又出现两个框，第一个是让我们选择只扫描什么漏洞，可以指定选择，里面有XXS、SQL、文件上传漏洞等，如果默认就是全部都扫描；第二个框是你要扫描的更快，你就可以在第二个框个性化定制扫描，里面有些参数设置，下一步我会教大家如何使用配置里面的参数，然后点击下一步：

网站的一些已经爬行出来了，这里我们可以看到他使用的服务器、版本、语言等信息，我们继续下一步：

这里是一个登陆序列，我们可以自己点击新建一个登陆序列，如果有的网站需要账号密码，我们就需要创建一个登陆序列，就是模拟一下登陆，然后软件记住，自动帮助我们登陆进入网站

这就是创建一个新的登陆序列，模拟登陆后，直接保存退出，继上一步步骤选择，保存的文件，点击下一步（这里可能有点乱，大家要是不清楚百度一下）

最后一步，直接点击"Finish"开始扫描站点漏洞。

经过漫长的等待，终于扫描完了，可以看到右边存在一个高危漏洞，左边框带有感叹号的就是说明有漏洞，AWVS把漏洞分为3个级别，高、中、低，我们一般关注高危漏洞就好，点开感叹号存在的漏洞，右边会出现对应的解释，英语不太熟悉的同学可以自己百度翻译一下。

我们右击目录下的文件，选择"Edit with HTTP Editor"发送到HTTP这个编辑器里面：

这里面我们可以清晰的看见请求头，参数名、还可以看到我们的COOKIES：

今天就简单的叙述一下如何使用AWVS，我这里使用的10.5的破解版，因为正版是收费的，大家用测试版时用下一就好了，还是推荐一下使用正版。

需要软件的朋友，我会把连接写在评论里面，大家可以自行下载使用，至于安全性自检。

本教程只用于教学，切勿在未经授权的情况下扫描别人网站。

希望大家点播关注，愿你在渗透的路上越变越强。