Neurohazard
Our democracy have been h4ck3d.

在 AWVS 12 中导入 Burp Suite/OWASP ZAP 的 URL

wpadmin~June 7, 2019 /InfoSec

在 AWVS 12 中导入 Burp Suite/OWASP ZAP 的 URL

为什么要这么做

Acunetix WVS 12 自带的 web 爬虫针对需要 ajax 交互才能出现页面 URL 抓取能力较弱,针对微信公众号,小程序,Android/iOS app 服务端等没有抓取能力。利用 Burp Suite / OWASP ZAP 遍历功能点,人工抓取这些传统爬虫较难获取的 URL,将这些 URL 直接送入 AWVS 的扫描引擎进行分析, fuzzing URL 层面的参数,对表单提交和上传点进行提示,简化渗透测试的流程。

从 Burp 中导出 XML 文件

Target > Site 中选中测试目标网站,右键单击,选择 Save selected items 选项即可。该文件可以直接导入 AWVS 。或者直接导出成项目状态文件, AWVS 也是可以识别的。

在 AWVS 11/12 中导入的方法是 Target > Crwal > Import Files

使用 CLI 或者 API 的方式

CLI 方式
wvsc.exe /scan http://testphp.vulweb.com /profile default /import burp.xml

API 方式

curl --request POST \
     --url http://acunetix-installation/api/v1/targets/{target_id}/configuration/imports \
     --data {body} \
     --header {scanner-authorization} \
     --header "Content-type: application/json"

参考资料

2019 年 5月之后的 Acunetix WVS 开始尝试集成一个 OpenVAS 到其中。
https://www.acunetix.com/blog/news/acunetix-now-with-network-security-scans/
https://www.acunetix.com/vulnerability-scanner/network-vulnerability-scanner/

连接AWVS 11的PostgreSQL数据库
https://blog.thecjw.me/698.html

调用Acunetix11 API接口实现扫描
http://0cx.cc/about_awvs11_api.jspx

【Acunetix】關於Acunetix v11美麗Web UI底下的秘密
https://laoomiaoo.blogspot.com/2017/04/acunetixacunetix-v11web-ui.html?m=1

【AWVS 10 的历史手工工具】
Where can I find the Acunetix manual tools in v11?
https://www.acunetix.com/blog/docs/can-find-acunetix-manual-tools-v11/

另外建议看一下低版本的 User Manual, 写的会比较详细。高版本的写的比较省略。
2013 年 文档
https://wenku.baidu.com/view/4333fea9f78a6529657d536f.html

2012 年 文档 (较全) keyword: “Document version 10”
https://www.acunetix.com/wp-content/uploads/2012/10/wvsmanual.pdf
2011 年 文档
https://www.acunetix.com/resources/wvs7manual.pdf

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.