【安全】漏洞扫描web实例
漏洞扫描实例
搭建环境
搭建一个测试的WNMP环境,创建一个首页
安装Nessus漏洞扫描软件
运行Nessus Web Client,输入用户名和密码,点击continue,将看到如图2-11所示界面,需要到Nessus网站https://www.tenable.com/how-to-buy页面注册,然后在注册邮箱中找到注册码,输入注册码,才能继续使用
注册好之后登录
登录进去后界面如图:
在设置扫描前可以先添加一个Policies(策略),选择Advanced Scan(自定义),在Settings中填写名称,在Plugins中选择检测项(可全选),之后Save。点New Scan,添加一个新的扫描
选择第一个高级扫描(Advanced Scan),出现图2-13所示界面。Name填写名字,Description填写描述信息,Targets是要访问的主机ip地址或者网段,属必填项,填好之后保存。
保存“My Scans”后,点击“start scan”就可以开始扫描了。还可以根据自己需求设置定时扫描,扫描后将会把扫描报告发送到指定邮箱。
扫描报告:
使用AWVS13扫描漏洞
安装软件
运行AcunetixWVS看到如图2-7所示界面,点击Add Target添加扫描目标,在弹出的窗口(图略)中添加地址信息Address和描述信息Description,地址信息可以是IP地址,也可以是URL。
添加地址后,选择Business Criticality(业务关键级别),其他默认,然后点击Save。
在此界面,如果要扫描的网站需要登录,可以点击Site Login,输入登录信息。这里只做了一般配置(General),也可以进行爬行(Crawl)、HTTP、高级(Advanced)等配置。
配置完就可以点击Scan(扫描)窗口,选择Scan Type(扫描类型,可以选择FullScan完全扫描),选择Report(报告类型)和Schedule(明细清单),点击CreateScan就开始进行漏洞扫描了。根据网站规模和复杂程度的不同,扫描过程会持续不等的时间,一般耗时较长
扫描成功
