简述
Acunetix是一种应用安全性扫描工具,旨在帮助发现和修复Web应用程序中的漏洞和安全风险。
Acunetix可以发现以下一些常见的安全问题:
- 跨站脚本攻击(XSS):通过在网页中注入恶意脚本来执行未经授权的操作。
- SQL注入攻击:利用应用程序对用户输入的不正确处理,从而执行恶意数据库查询。
- 文件包含漏洞:应用程序未正确验证用户提供的文件路径,导致恶意用户可以包含不应该被访问的文件。
- 远程命令执行(RCE):攻击者能够在远程系统上执行恶意代码或命令。
- XML外部实体(XXE)攻击:利用应用程序未正确配置XML解析器,导致攻击者可以读取或修改敏感数据。
- 不安全的直接对象引用(IDOR):攻击者能够绕过身份验证和授权来访问没有给予权限的资源。
- 服务器配置问题:如默认凭据、敏感信息泄露、目录浏览等,可能导致未经授权的访问或信息泄露。
此外,Acunetix还可以检查SSL/TLS配置问题,包括弱密码算法、未经授权的证书等。总之,Acunetix旨在帮助发现Web应用程序中的各种安全风险和漏洞,并提供建议来修复这些问题,从而提升应用程序的安全性。
提取码:1234
一、安装
1.先到网盘下载安装包,下载成功后解压,如下图
![0](http://dev-img.mos.moduyun.com/20231009/1164c680-70dd-46f4-b91e-92d28a9425b2.png)
2.选择exe程序安装
![0](http://dev-img.mos.moduyun.com/20231009/ed522870-43d2-4dff-a7d4-0f9a5913f429.png)
3.下一步
![0](http://dev-img.mos.moduyun.com/20231009/62b69773-8fd3-43b1-8ac5-841e7954da95.png)
4.设置登录的账号,密码,密码包含英文,数字,符号
![0](http://dev-img.mos.moduyun.com/20231009/0e565b1f-069f-42cc-9879-4a55d36b0478.png)
5.设置服务端口,一般用默认的就行
![0](http://dev-img.mos.moduyun.com/20231009/e5764173-1090-4531-ad05-2f452edea1f3.png)
6.安装完成
![0](http://dev-img.mos.moduyun.com/20231009/dbe1dddb-2b3c-43f3-b54d-1ed8941c69ba.png)
7.安装完成后会自动打开浏览器进入服务登录页面,输入安装时设置的账号,密码登录,如果忘记了,打开程序搜索Acunetix Administrative Password 修改即可
![0](http://dev-img.mos.moduyun.com/20231009/6d438437-222e-4e43-94fd-ad2f9db4cabe.png)
8.运行文件夹中的bat文件
![0](http://dev-img.mos.moduyun.com/20231009/499a390b-4a9e-4890-9efb-77355d9a5e5a.png)
9.host文件新增配置,路径C:\Windows\System32\drivers\etc
127.0.0.1 updates.acunetix.com
127.0.0.1 erp.acunetix.com
127.0.0.1 bxss.me
127.0.0.1 telemetry.invicti.com
10.点击回车,屏幕出现了点击任意键退出就算好了
11.再进入登录页面输入之前设置的账号密码登录
二、使用
1.切换中文,点击右上角,进入个人中心,
![0](http://dev-img.mos.moduyun.com/20231009/8ba339f0-9006-4896-bcf7-f9da55fb52b0.png)
2.输入名字姓氏,修改时区为GMT+8,修改语言为简体
![0](http://dev-img.mos.moduyun.com/20231009/78b3270a-f718-4b91-917a-ce8e209a2e0a.png)
3.添加扫描目标,点击目标再点击添加目标
![0](http://dev-img.mos.moduyun.com/20231009/06398c0f-91cc-4711-a7aa-057ee1bacdc6.png)
输入需要扫描的网址吗,可添加描述
![0](http://dev-img.mos.moduyun.com/20231009/a751668f-3904-443f-bbb7-29a95c4ee583.png)
点击保存,目标添加成功
4.进入目标信息编辑页面,选择业务关键性(仅标记作用),默认扫描配置文件,包含有全盘扫描、高风险、高/中风险,跨站脚本,sql注入,弱密码,仅爬取,恶意软件扫描,可以选择其中一项专项测试,全部测试就选择第一个全盘扫描
![0](http://dev-img.mos.moduyun.com/20231009/e0743710-23c7-4aad-a05a-b817095e62b0.png)
扫描速度,可以控制扫描的速度,同时越快发起的请求越多,如果系统有防御机制,不允许太多并发,会导致扫描失败
网站登录,需要测试登录状态下的安全性,需要保持会话有效,可以选择输入网址,账户名,密码,确认密码去获取登录状态,第二种办法可以通过内置的程序去录制,点击新建后打开程序,进行操作后点击完成就可以了。
![0](http://dev-img.mos.moduyun.com/20231009/ac1ec69b-7647-4f9b-a7fb-853dc43c7568.png)
![0](http://dev-img.mos.moduyun.com/20231009/5f40a1f6-3256-4d5b-b123-2e58ee838dd6.png)
5.到这里基本就可以了,点击保存
![0](http://dev-img.mos.moduyun.com/20231009/15c1d8ce-6a41-4382-ab22-7dd5f1e1b02a.png)
6.返回到目标,选择刚添加的目标,点击扫描
![0](http://dev-img.mos.moduyun.com/20231009/6617351f-dcd2-4cf1-9c5c-7323de0cd733.png)
7.点击扫描后会弹出弹窗,可以再次选择扫描方式,再选择完成后的报告呈现方式,包含了便于开发调试的报告和合规性标准报告
![0](http://dev-img.mos.moduyun.com/20231009/e8976b9d-7e6c-40de-b009-4e36d66cd8ff.png)
还可以选择扫描的时间,以及频率
![0](http://dev-img.mos.moduyun.com/20231009/a6d28d0f-1376-4786-a591-03d4ecc61594.png)
8.开始扫描
![0](http://dev-img.mos.moduyun.com/20231009/6b1e37c8-df79-4a8d-ba97-4a7c61143b9a.png)
9.扫描结束后生成扫描报告,点击报告,选择呈现方式下载
![0](http://dev-img.mos.moduyun.com/20231009/6ab84bc7-d129-4383-9e7d-6260bae78170.png)
报告中可以看出扫描出的漏洞,以及漏洞的危害以及位置,并给出建议
![0](http://dev-img.mos.moduyun.com/20231009/d7df2ae9-b7c9-48b3-b74b-cc6f05a5a08f.png)