delay
2
高级测评师
CISM-WSE
官方采纳
delay2
高级测评师
CISM-WSE
AWVS的主要组成可以分为Web Interface、Web Scanner、AcuSensor、AcuMonitor和Reporter。
Web Interface
AWVS提供了一个易于使用的网页接口,允许多个用户通过网页界面管理使用AWVS。登录后,用户可以通过仪表板了解目标资产的安全性,并且可以从此处访问内置的脆弱性管理功能,包括: - 配置目标进行扫描,扫描结束后汇总并展示每个目标的脆弱性情况。 - 按严重程度对检测到的脆弱性进行分类。 - 对扫描状态进行配置,实时查看扫描情况。 - 根据目标扫描或脆弱性生成报告。Web Scanner
网站扫描通常包括两个阶段: - 爬行:通过深度扫描、自动分析和爬行网站来构建站点的结构。爬行过程会枚举所有文件、文件夹和输入。 - 扫描:通过模拟黑客攻击,对目标进行Web漏洞检查。扫描结果包括目标所有漏洞的详细信息。AcuSensor
使用AcuSensor可以进行交互式应用程序安全测试(IAST),也称为灰盒测试。启用AcuSensor后,传感器会检索所有文件,包括无法通过网站链接访问的文件,然后扫描程序会模拟黑客对每个页面进行测试,分析每个页面可输入数据的位置。AcuMonitor
常规的Web应用程序测试非常简单,扫描程序将Payload发送给目标,目标做出响应,扫描程序接收到目标的响应后分析该响应,然后根据该响应对分析引发警告。但是,某些漏洞在测试过程中未对扫描程序提供任何响应,在这种情况下,常规的Web应用程序测试不起作用。AcuMonitor可以检测在测试过程中不会向扫描程序提供响应的漏洞,如XXE、SSRF、Blind XSS等。Reporter
Reporter可以根据目标扫描或脆弱性生成报告。它提供各种报告模板,包括执行摘要、详细报告和各种合规性报告。推荐文章
