Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的网络漏洞扫描工具,是一个针对web服务的扫描工具。

新版的AWVS是通过网页的方式使用,前后端分离,因此可以用Docker部署,这里我就选择使用Docker部署的方式来安装。

使用Docker部署

  1. 拉取下载镜像
1
docker pull secfa/docker-awvs
  1. 创建容器,并将3443端口映射到物理即的13443端口
1
2
3
docker run -it -d -p 13443:3443 secfa/docker-awvs
//Windows下可能需要添加一个参数
docker run -it -d --cap-add LINUX_IMMUTABLE -p 13443:3443 secfa/docker-awvs
  1. 访问awvs,在浏览器中打开https://127.0.0.1:13443(其中127.0.0.1可以替换为Docker所在服务器的地址)

由于https的原因,首次访问这个网页会弹出不信任,直接无视访问即可。若是Google Chrome可能相对更麻烦一些,建议自行查看相关问题解决方案。

默认的登录账户密码为

1
2
[email protected]
admin123
  1. 若发现网页为英文,可以通过点击右上角的用户,选择Profile

image.png

进入页面后,在Language选择简体,然后Last Name随便填写一个,否则无法保存,然后点击右上角的save即可

image.png

基础扫描

AWVS专用测试网站:http://testphp.vulnweb.com

首先我们需要添加目标,点击目标,选择添加目标,把测试网站放进入,点击保存即可。

image.png

我们可以对我们要扫描的目标进行设置扫描速度以及优先度(业务关键性)

接下来我们选择扫描,新建扫描,选择我们的目标,点击扫描

image.png

然后可以选择我们需要的扫描的配置文件,是否生成报告,以及何时启动扫描或是否重复扫描

image.png

接下来我们可以在漏洞或者仪表盘看到我们这次简单扫描的结果了。

AWVS API

AWVS除了使用网页图形化扫描,还可以通过编写Python脚本或者其他脚本来利用AWVS API进行扫描

AWVS接口可以参考:https://www.sqlsec.com/2020/04/awvsapi.html

根据提供的接口,简单写了个Python脚本:

https://github.com/IceWindy233/AWVS-Script

忘记密码

重新打开页面发现自己忘记密码,于是来更新一下忘记密码的处理方法

打开docker的控制台,切换目录

1
cd /home/acunetix/.acunetix

目录下有一个change_credentials.sh,运行

image-20230330160619992

修改成功后去对应的网站访问,使用刚刚设置好的邮箱与密码即可。