自学内容网 自学内容网

Web漏洞扫描工具(AWVS、Goby)

一、背景

        想针对自己项目或者小公司的Web安全做相关扫描,自己做漏洞进行自查工作,能够减少自身系统的安全风险,提高系统的安全性。但是没有找到一些开源性质的、扫描质量比较高的相关工具,使用安全公司的专业产品价格又承受不起。

        功夫不负有心人,找了两款开源或者具备有社区版的Web安全漏洞扫描工具: AWVS、Goby。

         使用下来感觉还蛮不错的。 至少也能扫描到一些常见OWASP的TOP10漏洞、常规漏洞等,避免安全部门来扫描的时候让我们去整改(被扫出漏洞,要么扣分、要么罚款,按照漏洞级别进行惩罚)。  所以说主动做这个事情对我们本身也是有益的。

1、AWVS

        Acunetix Web Vulnerability Scanner(AWVS)是一款专业级别的自动化Web应用程序安全扫描工具,由Acunetix公司开发。AWVS旨在帮助企业、组织和安全专家检测和评估Web应用程序中的潜在安全漏洞。它通过模拟攻击和深入扫描技术,能够识别出多种类型的Web安全威胁,包括但不限于:

  • SQL注入
  • 跨站脚本(XSS)
  • 文件包含漏洞
  • 目录遍历
  • 认证和会话管理问题
  • 不安全的直接对象引用
  • 敏感数据泄露
  • 缺乏功能级访问控制
  • 不安全的反序列化
  • 使用含有已知漏洞的组件
  • 不安全的通讯
  • 未验证的重定向和转发

AWVS的主要特点包括:

  1. 深度扫描能力:AWVS能够对Web应用程序进行全面扫描,不仅包括表面层面的HTML和CSS,还能深入到动态生成的内容和客户端脚本。

  2. 智能爬虫:内置的网络爬虫能够自动发现和枚举Web应用程序的所有可访问页面和功能,包括AJAX和框架中的内容。

  3. 自动化与定制:AWVS提供预设的扫描模板,同时也允许用户自定义扫描策略,包括选择特定的漏洞类型进行扫描。

  4. 详细的报告:扫描完成后,AWVS生成详细的报告,包括发现的每一个漏洞的信息、严重程度、位置以及修复建议。

  5. 直观的用户界面:AWVS拥有一个图形用户界面,使得非技术背景的用户也能够轻松使用。

  6. 集成与扩展性:AWVS可以与多种CI/CD工具和开发环境集成,支持自动化扫描和持续集成流程。

  7. 实时监测与警报:AWVS能够实时监测Web应用程序的健康状况,并在发现新漏洞时发出警报。

  8. 合规性报告:支持生成符合PCI DSS、OWASP Top 10等标准的报告,帮助组织达到合规要求。

  9. 多目标扫描:能够同时对多个Web应用程序进行扫描,适用于企业级环境。

  10. 代理功能:可以作为中间代理,捕获和分析Web流量,用于更细致的安全审计。

  11. 云与本地部署选项:AWVS提供云端服务和本地部署版本,满足不同场景下的需求。

        需要注意的是,尽管AWVS是一款强大的工具,但它不能替代人工渗透测试和专业的安全审查。它应该被视为安全评估过程中的一个辅助工具,用于快速识别可能的风险点,后续还需要结合人工分析和测试来确认和修复发现的问题。

2、Goby

        Goby是一款先进的网络安全测试工具,专注于网络空间测绘和漏洞扫描,由知名安全专家赵武(网名Zwell)创建,他也是Pangolin、JSky和FOFA等其他安全工具的作者。Goby的设计理念强调实战性和体系性,旨在为企业提供全面的网络安全防护方案。

以下是Goby的一些主要特性和功能:

  1. 资产发现与管理:Goby能够帮助企业梳理和管理其网络资产,包括硬件设备、服务器、网络设备和应用系统,建立完整的资产知识库。

  2. 漏洞扫描:Goby具备高效的漏洞扫描能力,能够自动检测网络设备和Web应用中存在的安全漏洞,支持超过10万种规则的识别引擎。

  3. 网络空间测绘:通过网络空间测绘技术,Goby可以绘制出目标网络的详细地图,包括开放端口、服务、操作系统信息等,帮助安全团队了解网络架构和潜在的攻击面。

  4. 自动化工作流:Goby支持自动化扫描和报告生成,减少手动操作,提高效率。同时,它还能够自动切换和扩展攻击路径,实现从一个入口点到横向移动的快速过渡。

  5. 自定义规则与插件:用户可以自定义漏洞扫描规则和开发插件,增强工具的功能和适应性,使其能够应对不断变化的威胁形势。

  6. 用户友好的界面:Goby提供了直观的用户界面和多个皮肤选项,使得安全测试和管理变得更加简便和高效。

  7. 跨平台支持:Goby可在Windows、Linux和macOS等操作系统上运行,提供广泛的兼容性。

  8. 报告与导出:工具内置了报告导出功能,可以生成详细的扫描报告,便于安全团队分析和分享结果。

  9. 教育与培训价值:Goby通过智能自动化的方式,帮助安全新手熟悉攻防演练,同时也助力高级渗透测试人员快速定位和攻克目标。

  10. 社区与生态:Goby有一个活跃的用户社区,提供技术支持、插件共享和最佳实践交流。

        Goby作为一个开源项目,对于网络安全研究者和企业来说,是一个值得探索的资源,它不仅提供了一套强大的安全测试工具,还促进了网络安全领域内的知识共享和技术进步。由于它是免费提供的,这使得它成为众多企业和个人用户的首选工具之一。

二、工具使用过程

1、AWVS

1、docker安装,方便、快捷
docker run -it -d -p 443:3443 --cap-add LINUX_IMMUTABLE secfa/docker-awvs:240111130

访问路径:  https://$ip:443

默认访问账号和密码:  admin@admin.com  Admin123

2、添加扫描站点

3、查看扫描任务

4、查看扫描漏洞
 5、查看生成扫描报告,查看pdf

 

 

 

2、Goby

官网:  https://gobysec.net/

1、安装GUI客户端

2、套路一样,添加资产信息,进行扫描即可

 三、关于网络安全与渗透的思考

        网安是一个复杂的学科,除非是大公司或者非常看重安全的公司,一般需要第三方专业安全公司去做这个事情才是有保障。 毕竟有一些赔付协议在里面,同时专业的安全公司,他们的处理能力和预防能力更强。

        说实在的,中小型公司很多老板对网络安全不是很重视,或者说在对网络安全上,不想投入成本。 但是,如果哪天因为被人利用漏洞入侵到系统,删除数据或者做一些恶意的操作才后悔,那就太晚了。报警都没用,侦查难度高,同时看你这个损失满不满足立案的门槛。

        所以要防范于未然,除了DDOS这种无脑攻击无能为力(上WAF这些太氪金了,普通小企业根本扛不住,大公司都得脱一层皮)。其它如SQL注入、XSS、CSRF等等常见的OWASP Top10漏洞要做好防范,至少90%的"黑客"搞不到你这边了。 剩下的10%,只能说看运气了,真的要有人搞你,方法多的是,除非你的任何资源都不在公网展示了,那也等于倒闭了.


原文地址:https://blog.csdn.net/xyz_dream/article/details/140252154

免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!