close

現場(環境):Windows主機     套件: acuentix 11

 

前言:

使用acunetix是必須購買軟體授權的,

後面的操作是安裝完軟體並輸入正確授權後的操作。

 

跟以前不一樣的是現在的acunetix改用WEB方式進行登入。

在瀏覽器輸入網址

https://localhost:3443

WEB介面中輸入帳號密碼。

 

就可以看到DashBoard頁面

一般來說,這邊的數值都應該是0

但這個畫面是已經被拿來弱掃過許多測試主機後的結果。

 

target的頁面,

是讓我們建立我們要弱掃的Host主機的地方

 

這邊可以點選上方的 Add Target

 

建立完成後會轉跳到後續設定的畫面

 

 

Crawl頁籤內容

 

Http頁籤內容

 

 

Advance 頁籤內容

 

回到一開始的General頁籤,建立Host的用意就是要弱掃

所以在這個頁籤點選【Scan

 

接著我們要選擇Scan的相關選項

第一次弱掃的話,Scan Type方面可以選擇 Full Scan

做一次完整的掃描,雖然花費時間會比較久

 

Report 方面是指你這次弱掃完後,要自動產生甚麼形式的報告。

上方四個Affected~Quick是比較常使用的Report 報告,

Affected Items 主要是將這邊弱掃出來的問題項目詳細列出。

Developer 方面,會將弱掃問題用開發者的角度出一份報告。

Executive Summary 這邊就只是個大綱,說明風險、問題數量。

Quick 方面會簡述問題內容,讓你很快速掌握問題狀況。

 

除了基本Report外,還有很多種可以選擇。

 

Schedule方面是指要不要設排程進行

Instant 表示我要立即開始掃描

 

 

Future Scan表示我要在哪個時間點,進行一次預訂行程的弱掃。

 

Recurrent Scan 是設定排程。從哪天開始,多久要掃描一次。

 

選好後,就點選Create Scan

如果選擇Instant就會立刻開始掃描。

可以看到左邊,我們從Targets頁籤切到Scans頁籤。

這邊的畫面是Scans頁籤內點選單一主機會出現的畫面。

 

一般Scans畫面會像下方有網址列表

Target部分就是我們剛剛輸入的列表

另外看到Status部分,

Processing 表示正在弱掃中。

Completed 表示弱掃完畢。

Aborted 表示弱掃因為特殊狀況被中斷。

點選Target中的網址可以回到上面的各個網址的弱掃頁面。

 

 

在弱掃Host中切換頁籤可以看到目前的狀況。

:弱掃出現的弱點

 

掃出來的網站結構

 

事件

 

Vulnearbilites主要就是顯示你弱掃出現那些問題的地方

例如目前在Target當中有看到 Apache Structs2的問題。

 

 

接著看到Reports的部分

這邊是當Target弱掃完成後,產出報表的地方。

報表要到這邊來下載。

 

Settings的部分就是關於Acunetix軟體的一些設定

 

弱掃完成,報告要不要透過設定郵件後直接寄送

 

ScanType

 

如果要看帳號的相關設定,要點選畫面右上角

帳號名稱 > Profile

基本頁籤的介紹到這邊。

 

我們再來看一下弱掃Targets的部分,

因為剛剛弱掃我們是掃沒有登入介面的網站。

但若是要掃有登入頁面的網站呢?

這時候就要製作範本。

 

建立Target頁面的下方有一個Site Login

你可以自由選擇要在這邊輸入登入帳密or 製作範本

 

這邊來看一下製作登入範本

我們點選下方紅字【Launch Login Sequence Recorder


製作登入範本的方式,就是透過Acunetix登入你要登入的WEB畫面。

 

一切都透過WEB頁面進行操作,在頁面右方會記錄你的操作行為。

 

這邊的範本製作完成後,會要求你進行儲存。

而不是直接幫你帶回弱掃Target頁面。

範本的附檔名是*.lsr

 

接著回到target弱掃頁面後,要再去剛剛儲存的地方匯入*.lsr檔案

這樣才算是完成。

接著就是一樣的弱掃模式。

 

 

有時候我們Target Host可能已經停止服務了,我們要移除怎麼處理?

 

可以再要刪除的Target前方的箭頭處點一下,讓它被勾選。

然後按下Delete就可以完成。

刪除前會再進行確認

 

弱掃完成了,要來看一下報告。

除了弱掃完自動產生外,我們也可以手動產生報告。

 

這邊可以出WAF Export

 

也能夠出報表。

報表部分點選Generate Report

 

接著就可以選擇想要的報表格式。

 

接著到Reports頁籤查看,可以看到剛剛建立的Report正在製作中

所以狀態是Processing

 

報告產生完畢後,狀態會修改成Completed ,並出現下載畫面。

 

下載的格式分成html & pdf 兩種。

就看個人習慣去處理。

 

Report 方面的首頁

 

大綱會跟你說這次弱掃出來的等級是怎麼樣。

High 表示為高風險

Medium 表示為 中風險

Low 表示為 低風險

Informational 表示為提示訊息。

 

 

 

而之後的頁面就會開始說明弱掃的測試結果是如何。

以及建議怎麼修改,等修改完成後再次進行弱掃。

直到問題都解決為止。

 

大致上的操作介紹就說到這裡,

後面的就要再自行去嘗試。

 

<本篇完>

 

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 IT001 的頭像
    IT001

    IT001

    IT001 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄