厂商 :哲想方案(北京)科技有限公司
北京 北京- 主营产品:
分析扫描结果
扫描网站发现的漏洞会实时显示在扫描结果窗口的警示节点中。一个“站点结构”节点还显示了发现漏洞的文件和文件夹。
屏幕截图 扫描结果显示警示概览
网络警示
网络警示节点显示目标网站上发现的全部漏洞。网络警示根据严重程度不同分为四个等级:
高等风险警示 等级3—漏洞分类最危险等级,最容易让网站受到黑的客攻击,数据泄露。
中等风险警示 等级2—由服务器错误配置引起的漏洞和站点编码漏洞,由此引起的服务器破坏和入侵。
低等风险警示 等级1—数据通信加密缺失或者目录路径公开导致的漏洞。
信息警示—这些是在扫描过程中发现的吸引人注意力的漏洞,比如,可能是内置IP地址或者邮件地址的泄露,或者在Google黑的客数据库中发现的搜索记录。
点击警示目录节点了解更多漏洞信息:
●
漏洞描述-- AcuSensor Technology.所发现漏洞的描述。AcuSensor的图标显示在漏洞描述中,这些漏洞是用AcuSensor技术所发现的。
●
受影响的项目 发现漏洞的文件漏洞列表。
● 该漏洞的影响-如果该漏洞被利用,对网站和网络服务器产生的影响等级。
●
攻击明细- 用来测试该漏洞的详细参数信息和变量。例如,对于跨站点的脚本警示,用到的变量的输入和字符串会显示出来。你也可以看到发送到网站服务器的HTTP需求,以及网络服务器(包括HTML回应)发回的响应。可以检测出袭的击,并通过手动点击Launch the attack with HTTP Editor再次进行袭的击。
● 如何修复这些漏洞 知道如何修复漏洞。
● 详细信息 关于报告漏洞的更多信息。
●
网络参考资料 -一系列网络链接提供更多关于漏洞的信息,帮助大家更好的理解并进行修复。
标记警告假阳性
如果你确信检测出的漏洞检测出错,你可以将这个错误漏洞标上假阳性,避免在同一个网站扫描中报告漏洞。点击‘Mark alert as false ’链接或者右击警示,选择菜单的选项。
你也可以移除这个假阳性警示,漏洞扫描工具,通过Tools Explorer,选择假阳性节点,导航到“设置>应用程序设置”。
网络警示
屏幕截图 网络, 端口扫描器和知识库的节点
网络警示节点展示在扫描的网络服务中发现的漏洞,比如DNS, FTP, SMTP 和 SSH服务器。网络警示划分为4个严重等级(与网络警示类似)。所发现漏洞的数量显示在括号中,就在警告分类的旁边。点击警告分类节点查看更多信息(与网络警告类似)。
注意:你可以关闭网络安全检查,只要在扫描向导中取消选择‘Enable Port Scanning(开启端口扫描)’。网络安全检查只扫描检测到的开放端口,因此,关闭端口扫描可以有效的关闭所有的网络安全检查。
扫描网站
注意:不要扫描一个没有合格认证的网站!
网络服务器日志将显示你的IP地址,以及所有Acunetix Web Vulnerability Scanner侦的查的袭的击。如果你不是网站的唯的一管理员,请在扫描之前警示其他管理员,有些扫描可能会引起网站瘫痪,需要网站重启。
扫描肮脏,首先你需要执行以下步骤:
步骤 1: 选择扫描目标
1.
点击 File > New > New Website
Scan开启网站向导,或者点击Acunetix Web Vulnerability Scanner菜单栏左上角的New Scan(新的扫描)按钮。
屏幕截图 - 扫描向导:选择扫描类型
2. 明确指的定扫描选项:
a.
扫描单个网站—输入目标网站的网站
e.g. http://download.img.dns4.cn/p>
b. 用保存的爬行结果扫描—如果你之前在网站上执行爬行,你可以用保存的结果进行扫描,而不是再次爬行网站。
3.
点击 Next 继续。
注意: Acunetix Web Vulnerability Scanner Scheduler 可在特定的时间扫描网站,设置循环扫描。
步骤 2: 指的定扫描配置文件,漏洞扫描,扫描设置模板和爬行选项
屏幕截图 – 扫描配置文件和扫描设置模板
扫描配置文件
扫描配置文件将决定对目标网站进行哪些测试。例如,如果你只想测试你的网站SQL注入,选择配置文件sql_injection。不执行其他的测试,默认扫描配置文件将对网站进行所有知名的网络漏洞,参考“配置文件”区域了解更多信息,关于如何自定义或者创建扫描配置文件。
扫描设置模板
扫描设置模板决定了扫描过程中使用的爬行器和扫描器设置。参考“扫描设置模板”区域了解更多信息,关于如何自定义和创建新的扫描设置模板。
保存扫描结果
如果你想自动保存扫描结果到报告数据库,打开保存扫描结果到生成的报告数据库选项。
爬行选项
如果你想要从自动网站安全扫描选择/不选择文件,而不是扫描整个网站,选择After crawling
let me choose which files to scan(爬行后让我选择扫描哪个文件)
如果你想优先爬行一个网址,就选择Define list of URLs to be processed by crawler at start(定义网址列表在爬行时优先处理)(如果使用爬行结果,此项不可用)。
步骤 3: 确认目标和识别的技术
屏幕截图 – 扫描向导选取目标和技术
Acunetix Web Vulnerability
Scanner将自动为服务器操作系统、网络服务器和网络服务器技术采集目标网站。网络漏洞扫描器值扫描选定的网络技术,减少扫描次数。例如,Acunetix Web Vulnerability Scanner不会再运行Apache网络服务器的Linux系统上进行IIS安全检查。如果你想要增加或者移除某些技术,漏洞扫描器,点击相关的区域,从提供的检查框改变设置。
注意:如果一项特定的技术没有列在“最的优化下列技术”下面,并不意味着网络漏洞扫描器不支持该技术,只是说明该项技术没有单独的漏洞测试。
步骤 4:密码保护区域的登录设置
常用的有两种登录机制:
HTTP 认证 - 这种类型的认证由网络服务器处理,用户一般会看到一个密码输入框。扫描HTTP密码保护区需要你在网络应用程序爬行过程中输入密码,或者你在Acunetix中有密码预设。
Forms 认证 - 这种类型的认证通过网络表格处理,而不是HTTP。密码发送到服务器验证自定义脚本。登录序列记录器可以进行表格为基础的认证扫描网站。
步骤 5: 最终确定扫描选项
屏幕截图 - 最终确定扫描结果
扫描开始之前,扫描向导会报告一些可能会阻碍扫描的问题。以下是一些可能呈现在您面前的动作列表:
●
如果在连接到目标服务器的时候遇到错误,会显示出来。
●
如果Acunetix Web Vulnerability Scanner无法自动识别自顶一个404错误页面模式,你就不得不点击自定义按钮设置自定义的404错误页面规则。了解更多关于设置Acunetix处理自定义的404报错页面。
●
如果目标服务器正在使用不区分大小写的网址,必须进行不区分大小写的爬行。可以完成通过 设置>爬行设置>爬行选项>忽视路径中大小写不同>
●
如果启用AcuSensor技术,目标服务器正在运行PHP或者是.NET,web漏洞扫描器,如果识别不出AcuSensor代理,你会得到一项报错。点击自定义按钮在目标网络应用程序中安装AcuSensor。
● 如果发现扫描的站点还链接了其他的主机,你也可以有选择性的扫描一些。同时也需要你选择允许扫描部分主机。
●
如果识别出智能手机友好型版本的网站,你可以选择将该网站当做一般的浏览器或者是手机浏览器,然后再爬行和扫描。
●
如果扫描设置模板发生改变,会询问将修改保存到现有的模板或者是新的模板。
步骤 6:开始扫描
点击Finish开始自动扫描。如果在爬行选项中选择爬行后让我选择扫描文件,在Acunetix漏洞扫描完成网站爬行后,会要求选择需要扫描的文件。
根据网站大小,所选的扫描配置问价,服务器的响应时间,扫描可能会花费数小时。
漏洞扫描、漏洞扫描器、哲想软件(优质商家)由哲想方案(北京)科技有限公司提供。哲想方案(北京)科技有限公司(www.cogitosoft.com)实力雄厚,信誉可靠,在北京 海淀区 的软件开发等行业积累了大批忠诚的客户。公司精益求精的工作态度和不断的完善创新理念将引领哲想软件和您携手步入辉煌,共创美好未来!
