哲想软件 图 _web漏洞扫描器_漏洞扫描

扫描网站

注意:不要扫描一个没有合格认证的网站!

网络服务器日志将显示你的IP地址，以及所有Acunetix Web Vulnerability Scanner侦的查的袭的击。如果你不是网站的唯的一管理员，漏洞扫描，请在扫描之前警示其他管理员，漏洞扫描工具，有些扫描可能会引起网站瘫痪，需要网站重启。

扫描肮脏，首先你需要执行以下步骤：

步骤 1: 选择扫描目标

1.  

点击 File > New > New Website

Scan开启网站向导，或者点击Acunetix Web Vulnerability Scanner菜单栏左上角的New Scan（新的扫描）按钮。

屏幕截图 - 扫描向导:选择扫描类型

2.     明确指的定扫描选项:

a.  

扫描单个网站—输入目标网站的网站

e.g.

b.    用保存的爬行结果扫描—如果你之前在网站上执行爬行，你可以用保存的结果进行扫描，而不是再次爬行网站。

3.    

点击 Next 继续。

注意: Acunetix Web Vulnerability Scanner Scheduler 可在特定的时间扫描网站，设置循环扫描。

步骤 2: 指的定扫描配置文件，扫描设置模板和爬行选项

屏幕截图 – 扫描配置文件和扫描设置模板

扫描配置文件

扫描配置文件将决定对目标网站进行哪些测试。例如，如果你只想测试你的网站SQL注入，选择配置文件sql_injection。不执行其他的测试，默认扫描配置文件将对网站进行所有**的网络漏洞，web漏洞扫描器，参考“配置文件”区域了解更多信息，关于如何自定义或者创建扫描配置文件。

扫描设置模板

扫描设置模板决定了扫描过程中使用的爬行器和扫描器设置。参考“扫描设置模板”区域了解更多信息，关于如何自定义和创建新的扫描设置模板。

保存扫描结果

如果你想自动保存扫描结果到报告数据库，打开保存扫描结果到生成的报告数据库选项。

爬行选项

如果你想要从自动网站安全扫描选择/不选择文件，而不是扫描整个网站，选择After crawling

let me choose which files to scan（爬行后让我选择扫描哪个文件）

如果你想**爬行一个网址，就选择Define list of URLs to be processed by crawler at start（定义网址列表在爬行时**处理）(如果使用爬行结果，此项不可用)。

步骤 3: 确认目标和识别的技术

屏幕截图 – 扫描向导选取目标和技术

Acunetix Web Vulnerability

Scanner将自动为服务器操作系统、网络服务器和网络服务器技术采集目标网站。网络漏洞扫描器值扫描选定的网络技术，减少扫描次数。例如，Acunetix Web Vulnerability Scanner不会再运行Apache网络服务器的Linux系统上进行IIS安全检查。如果你想要增加或者移除某些技术，点击相关的区域，从提供的检查框改变设置。

注意:如果一项特定的技术没有列在“较的优化下列技术”下面，并不意味着网络漏洞扫描器不支持该技术，只是说明该项技术没有单独的漏洞测试。

步骤 4:密码保护区域的登录设置

常用的有两种登录机制:

HTTP 认证 - 这种类型的认证由网络服务器处理，用户一般会看到一个密码输入框。扫描HTTP密码保护区需要你在网络应用程序爬行过程中输入密码，或者你在Acunetix中有密码预设。

Forms 认证 - 这种类型的认证通过网络表格处理，而不是HTTP。密码发送到服务器验证自定义脚本。登录序列记录器可以进行表格为基础的认证扫描网站。

步骤 5: 较终确定扫描选项

屏幕截图 - 较终确定扫描结果

扫描开始之前，扫描向导会报告一些可能会阻碍扫描的问题。以下是一些可能呈现在您面前的动作列表:

●    

如果在连接到目标服务器的时候遇到错误，会显示出来。

●    

如果Acunetix Web Vulnerability Scanner无法自动识别自**一个404错误页面模式，你就不得不点击自定义按钮设置自定义的404错误页面规则。了解更多关于设置Acunetix处理自定义的404报错页面。

●    

如果目标服务器正在使用不区分大小写的网址，必须进行不区分大小写的爬行。可以完成通过 设置>爬行设置>爬行选项>忽视路径*小写不同>

●    

如果启用AcuSensor技术，目标服务器正在运行PHP或者是.NET，漏洞扫描，如果识别不出AcuSensor代理，你会得到一项报错。点击自定义按钮在目标网络应用程序中安装AcuSensor。

●     如果发现扫描的站点还链接了其他的主机，你也可以有选择性的扫描一些。同时也需要你选择允许扫描部分主机。

●    

如果识别出智能手机友好型版本的网站，你可以选择将该网站当做一般的浏览器或者是手机浏览器，然后再爬行和扫描。

●    

如果扫描设置模板发生改变，会询问将修改保存到现有的模板或者是新的模板。

步骤 6:开始扫描

点击Finish开始自动扫描。如果在爬行选项中选择爬行后让我选择扫描文件，在Acunetix漏洞扫描完成网站爬行后，会要求选择需要扫描的文件。

根据网站大小，所选的扫描配置问价，服务器的响应时间，扫描可能会花费数小时。

如何扫描HTTP认证限制区域

Acunetix支持通过登录序列记录器支持表单身份验证，您还可以扫描通过HTTP身份验证限制的网站或Web应用程序的区域。

HTTP认证（有时称为基本身份验证）是一种在HTTP标准（RFC 1954）中正式定义的身份验证，涉及较终用户的Web浏览器将Authorization（授权）：Basic HTTP头中的用户凭据发送到服务器。

当需要HTTP验证时，用户的浏览器将提示用户在允许访问受限区域之前输入正确的凭证集。这种类型的身份验证通常由服务器控制，与Form（表格）认证不同，Acricetix由登录序列记录器处理。

为了扫描使用HTTP身份验证的网站，请导航到要启用HTTP身份验证的目标，然后导航到HTTP选项卡。

从那里您可以启用HTTP身份验证，并指的定Acunetix遇到Web服务器的HTTP身份验证请求时使用的用户名和密码。