一、漏洞扫描与利用之AWVS

1.步骤一

首先需要添加一个扫描目标，先不进行登陆操作：

设置爬虫扫描

开始扫描

得出网站目录
如果需要账号密码则需要设置
方式一：

方式二：

之后点击“save”,保存后就可以进行扫描

2…步骤二

1. Dashboard 仪表盘

   仪表盘是用来显示扫描的信息，详细介绍如下图：

2. Targets 创建扫描目标

   1）当我们需要添加一个扫描目标时，可以点击如下图的“Add Target”
   2）然后输入目标网站的URL，以及对本次扫描的一个描述
   3）再然后就是基本的一些配置信息，先是“General”一般配置：
   登陆设置：
   AcuSensor的部署：
   然后是“Crawl”爬虫的配置：
   “HTTP”的配置：
   
   Advanced”高级配置：
   
   Tips：

   ①“Technologles”技术这一设置选项，让用户进行选择，如果用户知道目标网站所使用的Web技术或者用户想强制使用指定的Web技术进行扫描，那么就可以在这里进行设置。

   ② 问题追踪这一块需要连接网络，我们的虚拟机环境不支持，所以忽略掉这一块，这一块也不常用，有兴趣的同学可以自己研究。

   4）配置完成之后，就可以点击“Save”保存配置，然后再点击“Scan”,接着进行“扫描类型”、“报告模板”和“日程
   等这一部分配置完成就开始真正的扫描了。

3. Vulnerabilities脆弱性

   Vulnerabilities是脆弱性的意思，在11.x及以后的版本中，这块内容显示的是所有目标扫描得到的漏洞信息，在这个页面可以生成扫描报告：
   以及其以上的选项中有“mark as”是对所勾选中的漏洞进行一个标记：
   

4. Scans 扫描

   这里会显示你所创建的所有的扫描信息，也可以在这里新建扫描，或者终止一个正在进行的扫描，或者删除一个扫描，对选中的扫描进行报告的生成，对比两个扫描。

5. Settings 设置

   这里可以进行更多的设置：
   
   “Proxy Settings” 代理设置：
   
   “Add User” 添加用户：
   “Add Group” 添加扫描组：
   “Scan Types –> New” 新建扫描类型，也就是创建一个扫描策略，创建之后，新建扫描时，在选择Scan Type时就可以选择了：
   “Excluded Hours”禁止扫描的时间：