【安全】漏洞扫描web实例

漏洞扫描实例

搭建环境

搭建一个测试的WNMP环境，创建一个首页

安装Nessus漏洞扫描软件

运行Nessus Web Client，输入用户名和密码，点击continue，将看到如图2-11所示界面，需要到Nessus网站https://www.tenable.com/how-to-buy页面注册，然后在注册邮箱中找到注册码，输入注册码，才能继续使用

注册好之后登录

登录进去后界面如图：

在设置扫描前可以先添加一个Policies（策略），选择Advanced Scan（自定义），在Settings中填写名称，在Plugins中选择检测项（可全选），之后Save。点New Scan，添加一个新的扫描

选择第一个高级扫描（Advanced Scan），出现图2-13所示界面。Name填写名字，Description填写描述信息，Targets是要访问的主机ip地址或者网段，属必填项，填好之后保存。

保存“My Scans”后，点击“start scan”就可以开始扫描了。还可以根据自己需求设置定时扫描，扫描后将会把扫描报告发送到指定邮箱。

扫描报告：

使用AWVS13扫描漏洞

安装软件

运行AcunetixWVS看到如图2-7所示界面，点击Add Target添加扫描目标，在弹出的窗口（图略）中添加地址信息Address和描述信息Description，地址信息可以是IP地址，也可以是URL。

添加地址后，选择Business Criticality（业务关键级别），其他默认，然后点击Save。

在此界面，如果要扫描的网站需要登录，可以点击Site Login，输入登录信息。这里只做了一般配置（General），也可以进行爬行（Crawl）、HTTP、高级（Advanced）等配置。

配置完就可以点击Scan（扫描）窗口，选择Scan Type（扫描类型，可以选择FullScan完全扫描），选择Report（报告类型）和Schedule（明细清单），点击CreateScan就开始进行漏洞扫描了。根据网站规模和复杂程度的不同，扫描过程会持续不等的时间，一般耗时较长

扫描成功