-
WVS
鎖定
WVS(Web Vulnerability Scanner)是一個自動化的Web應用程序安全測試工具,它可以掃描任何可通過Web瀏覽器訪問的和遵循HTTP/HTTPS規則的Web站點和Web應用程序。適用於任何中小型和大型企業的內聯網、外延網和麪向客户、僱員、廠商和其它人員的Web網站。
- 中文名
- WVS
- 外文名
- Web Vulnerability Scanner
- 類 型
- 自動化Web應用程序安全測試工具
- 特 點
- 擁有大量的自動化特性和手動工具
WVS功能
WVS(Web Vulnerability Scanner )
WVS可以通過檢查SQL·注入攻擊漏洞、跨站腳本攻擊漏洞等來審核你的Web應用程序。
它可以掃描任何可通過Web瀏覽器訪問的和遵循HTTP/HTTPS規則的Web站點和Web應用程序。
除了自動化地掃描可以利用的漏洞,WVS還提供了分析現有通用產品和客户定製產品(包括那些依賴於JavaScript的程序即AJAX應用程序)的一個強健的解決方案。
WVS工作方式
WVS擁有大量的自動化特性和手動工具,總體而言,它以下面的方式工作:
1.它將會掃描整個網站,它通過跟蹤站點上的所有鏈接和robots.txt(如果有的話)而實現掃描。然後WVS就會映射出站點的結構並顯示每個文件的細節信息。
2.在上述的發現階段或掃描過程之後,WVS就會自動地對所發現的每一個頁面發動一系列的漏洞攻擊,這實質上是模擬一個黑客的攻擊過程。WVS分析每一個頁面中可以輸入數據的地方,進而嘗試所有的輸入組合。這是一個自動掃描階段。
3.在它發現漏洞之後,WVS就會在“Alerts Node(警告節點)”中報告這些漏洞。每一個警告都包含着漏洞信息和如何修復漏洞的建議。
4.在一次掃描完成之後,它會將結果保存為文件以備日後分析以及與以前的掃描相比較。使用報告工具,就可以創建一個專業的報告來總結這次掃描。
WVS審核漏洞
WVS自動地檢查下面的漏洞和內容:
·版本檢查,包括易受攻擊的Web服務器,易受攻擊的Web服務器技術
·CGI測試,包括檢查Web服務器的問題,主要是決定在服務器上是否啓用了危險的HTTP方法,例如PUT,TRACE,DELETE等等。
·參數操縱:主要包括跨站腳本攻擊(XSS)、SQL注入攻擊、代碼執行、目錄遍歷攻擊、文件入侵、腳本源代碼泄漏、CRLF注入、PHP代碼注入、XPath注入、LDAP注入、Cookie操縱、URL重定向、應用程序錯誤消息等。
·多請求參數操縱:主要是Blind SQL / XPath注入攻擊
·目錄檢查,主要查看常見的文件,發現敏感的文件和目錄,發現路徑中的跨站腳本攻擊等。
·Web應用程序:檢查特定Web應用程序的已知漏洞的大型數據庫,例如論壇、Web入口、CMS系統、電子商務應用程序和PHP庫等。
·文本搜索:目錄列表、源代碼揭示、檢查電子郵件地址、微軟Office中可能的敏感信息、錯誤消息等。
·GHDB Google攻擊數據庫:可以檢查數據庫中1400多條GHDB搜索項目。
·Web服務:主要是參數處理,其中包括SQL注入/Blind SQL注入(即盲注攻擊)、代碼執行、XPath注入、應用程序錯誤消息等。
使用該軟件所提供的手動工具,還可以執行其它的漏洞測試,包括輸入合法檢查、驗證攻擊、緩衝區溢出等。
