Web Scanner 核心功能 web安全漏洞扫描
Site Crawler 爬虫功能 遍历站点目录结构
Target Finder 端口扫描 找出web服务器 ，80，443
Subdomain Scanner 子域名扫描器 利用DNS查询
Blind SQL Injector 盲注工具
HTTP Editor http协议数据的编辑器
HTTP Sniffer http协议嗅探器
HTTP Fuzzer 模糊测试工具
Authentication Tester web认证破解工具

a 自动的客户端脚本分析器，允许对Ajax和Web2.0应用程序进行安全性测试b 业内最先进且深入的SQL注入和跨站脚本测试c 高级渗透测试工具，例如： HTTP Eidtor 和 HTTP Fuzzerd 可视化宏记录器帮助您轻松测试web表格和受密码保护的区域e 支持含有CAPTHCA的页面，单个开始指令和Two Factor（双因素）验证机f 高速爬行程序检测web服务器类型和应用程序语言j 智能爬行程序检测web服务器类型和应用程序语言k 端口扫描web 服务器并对服务器上运行的网络服务执行安全检查l 可导出网站漏洞文件

AcuSensor：Acunetix传感器机制，可提升漏洞审查能力，需要在网站上安装文件，目前主要针对ASP NET/PHP

Blind SQL Injection：盲注扫描

CSRF：检查跨域访问

Default：默认配置（均检测）

Directory And File Checks：目录与文件检测

Empty：不使用任何检测

File Upload：文件上传检测

GHDB：利用Google hacking数据库检测

High Risk Alerts：高风险警告

Network Scripts：网络脚本

Parameter Manipulation：参数操作

Text Search：文本搜索

Weak Passwords：弱口令

Web Applications：Web应用程序

Xss：跨站检测

HTTP编辑器（HTTP Editor）

和BP repeater类似，可以进行手动漏洞挖掘探测。

Enocoder tool中可以进行各种加密解密

HTTP嗅探(HTTP sniffer）

和BP proxy类似，首先要设置代理(Application Settings->HTTP Sniffer)，截取数据包，修改数据包提交或者丢弃。

利用代理功能进行手动爬网（保存为slg文件，在Site Crawler页面点击Build structure from HTTP sniffer log），得到自动爬网爬取不到的文件

HTTP Fuzzer

类似于BP intruder，进行暴力破解，点击+选择类型，点击insert插入

注意：插入字母的时候选取字母的范围填写的是字母对应的ASCII码

验证测试（Authentication Tester）

验证测试，用于尝试破解破解账户密码。Acunetix

基于表单的认证方法要点击Select 选择表单的哪一部分是用户名，那一部分是密码

结果比较（Compare Results） Acunetix

可以用不同用户登录后结果进行比较，和BP Compare类似

AWVS配置

应用设置（Application Settings

整数配置（Client Certifications）

有些Web Application需要客户端证书才能进行扫描。
Login Sequence Manger：

类似于把登陆过程进行录像，下面进行制作Login Sequence ：

1、首先输入一个要进行登录的URL，点击Next

2、类似于使用浏览器，输入用户名和密码：

3、点击登录过程中的限制（如退出链接常需要限制）；

4、输入验证登录成功或失败的标志；

5、Review

（AVWS站点扫描中可以选择login sequence、在Site Crawling处也可以选择login sequence）

探测器部署（AcuSensor Deployment）

要在服务器端布置angent进行扫描的一种独特的扫描方式

扫描设置（Scan Settings）

站点扫描 awvs使用方法

1、点击New Scan

2、点击扫描配置就是Scan Setting页面

3、发现目标服务器基本信息

4、是否需要登录，可以使用login sequence

5、finish，扫描结果可以保存为wvs文件，还能把结果制作成报表

6..扫描完成之后，可以将报告导出来。点击菜单中的“Report”