Contents
在 AWVS 12 中导入 Burp Suite/OWASP ZAP 的 URL
为什么要这么做
Acunetix WVS 12 自带的 web 爬虫针对需要 ajax 交互才能出现页面 URL 抓取能力较弱,针对微信公众号,小程序,Android/iOS app 服务端等没有抓取能力。利用 Burp Suite / OWASP ZAP 遍历功能点,人工抓取这些传统爬虫较难获取的 URL,将这些 URL 直接送入 AWVS 的扫描引擎进行分析, fuzzing URL 层面的参数,对表单提交和上传点进行提示,简化渗透测试的流程。
从 Burp 中导出 XML 文件
在 Target > Site
中选中测试目标网站,右键单击,选择 Save selected items
选项即可。该文件可以直接导入 AWVS 。或者直接导出成项目状态文件, AWVS 也是可以识别的。
在 AWVS 11/12 中导入的方法是 Target > Crwal > Import Files
。
使用 CLI 或者 API 的方式
CLI 方式
wvsc.exe /scan http://testphp.vulweb.com /profile default /import burp.xml
API 方式
curl --request POST \
--url http://acunetix-installation/api/v1/targets/{target_id}/configuration/imports \
--data {body} \
--header {scanner-authorization} \
--header "Content-type: application/json"
参考资料
2019 年 5月之后的 Acunetix WVS 开始尝试集成一个 OpenVAS 到其中。
https://www.acunetix.com/blog/news/acunetix-now-with-network-security-scans/
https://www.acunetix.com/vulnerability-scanner/network-vulnerability-scanner/
连接AWVS 11的PostgreSQL数据库
https://blog.thecjw.me/698.html
调用Acunetix11 API接口实现扫描
http://0cx.cc/about_awvs11_api.jspx
【Acunetix】關於Acunetix v11美麗Web UI底下的秘密
https://laoomiaoo.blogspot.com/2017/04/acunetixacunetix-v11web-ui.html?m=1
【AWVS 10 的历史手工工具】
Where can I find the Acunetix manual tools in v11?
https://www.acunetix.com/blog/docs/can-find-acunetix-manual-tools-v11/
另外建议看一下低版本的 User Manual, 写的会比较详细。高版本的写的比较省略。
2013 年 文档
https://wenku.baidu.com/view/4333fea9f78a6529657d536f.html
2012 年 文档 (较全) keyword: “Document version 10”
https://www.acunetix.com/wp-content/uploads/2012/10/wvsmanual.pdf
2011 年 文档
https://www.acunetix.com/resources/wvs7manual.pdf
调用 Acunetix11 API接口实现扫描
http://0cx.cc/about_awvs11_api.jspx
AWVS水笔记
https://jkme.github.io/awvs.html
Leave a Reply