Acunetix使用說明
2023-07-13 15:00:17
簡述
Acunetix是一種應用安全性掃描工具,旨在幫助發現和修復Web應用程式中的漏洞和安全風險。
Acunetix可以發現以下一些常見的安全問題:
- 跨站指令碼攻擊(XSS):通過在網頁中注入惡意指令碼來執行未經授權的操作。
- SQL隱碼攻擊:利用應用程式對使用者輸入的不正確處理,從而執行惡意資料庫查詢。
- 檔案包含漏洞:應用程式未正確驗證使用者提供的檔案路徑,導致惡意使用者可以包含不應該被存取的檔案。
- 遠端命令執行(RCE):攻擊者能夠在遠端系統上執行惡意程式碼或命令。
- XML外部實體(XXE)攻擊:利用應用程式未正確設定XML解析器,導致攻擊者可以讀取或修改敏感資料。
- 不安全的直接物件參照(IDOR):攻擊者能夠繞過身份驗證和授權來存取沒有給予許可權的資源。
- 伺服器設定問題:如預設憑據、敏感資訊洩露、目錄瀏覽等,可能導致未經授權的存取或資訊洩露。
此外,Acunetix還可以檢查SSL/TLS設定問題,包括弱密碼演演算法、未經授權的證書等。總之,Acunetix旨在幫助發現Web應用程式中的各種安全風險和漏洞,並提供建議來修復這些問題,從而提升應用程式的安全性。
提取碼:1234
一、安裝
1.先到網路硬碟下載安裝包,下載成功後解壓,如下圖
2.選擇exe程式安裝
3.下一步
4.設定登入的賬號,密碼,密碼包含英文,數位,符號
5.設定伺服器埠,一般用預設的就行
6.安裝完成
7.安裝完成後會自動開啟瀏覽器進入服務登入頁面,輸入安裝時設定的賬號,密碼登入,如果忘記了,開啟程式搜尋Acunetix Administrative Password 修改即可
8.執行資料夾中的bat檔案
9.host檔案新增設定,路徑C:\Windows\System32\drivers\etc
127.0.0.1 updates.acunetix.com
127.0.0.1 erp.acunetix.com
127.0.0.1 bxss.me
127.0.0.1 telemetry.invicti.com
10.點選回車,螢幕出現了點選任意鍵退出就算好了
11.再進入登入頁面輸入之前設定的賬號密碼登入
二、使用
1.切換中文,點選右上角,進入個人中心,
2.輸入名字姓氏,修改時區為GMT+8,修改語言為簡體
3.新增掃描目標,點選目標再點選新增目標
輸入需要掃描的網址嗎,可新增描述
點選儲存,目標新增成功
4.進入目標資訊編輯頁面,選擇業務關鍵性(僅標記作用),預設掃描組態檔,包含有全盤掃描、高風險、高/中風險,跨站指令碼,sql注入,弱密碼,僅爬取,惡意軟體掃描,可以選擇其中一項專項測試,全部測試就選擇第一個全盤掃描
掃描速度,可以控制掃描的速度,同時越快發起的請求越多,如果系統有防禦機制,不允許太多並行,會導致掃描失敗
網站登入,需要測試登入狀態下的安全性,需要保持對談有效,可以選擇輸入網址,賬戶名,密碼,確認密碼去獲取登入狀態,第二種辦法可以通過內建的程式去錄製,點選新建後開啟程式,進行操作後點選完成就可以了。
5.到這裡基本就可以了,點選儲存
6.返回到目標,選擇剛新增的目標,點選掃描
7.點選掃描後會彈出彈窗,可以再次選擇掃描方式,再選擇完成後的報告呈現方式,包含了便於開發偵錯的報告和合規性標準報告
還可以選擇掃描的時間,以及頻率
8.開始掃描
9.掃描結束後生成掃描報告,點選報告,選擇呈現方式下載
報告中可以看出掃描出的漏洞,以及漏洞的危害以及位置,並給出建議
