實(shí)戰(zhàn)案例——漏洞掃描STEP01：在客戶端下載并安裝AWVS9.5。①雙擊運(yùn)行解壓后的安裝文件AcunetixWebVulnerabilityScanner95；在“用戶帳戶控制”提示框點(diǎn)擊“是”。②在歡迎界面點(diǎn)擊“Next”；在“LicenseAgreement”界面選中“Iaccepttheagreement”，點(diǎn)擊“Next”。③在“SelectDestinationLocation”界面設(shè)置安裝路徑后點(diǎn)擊“Next”；在“Miscellaneous”關(guān)于證書(shū)的界面點(diǎn)擊“Next”。④在“SelectAdditionalTasks”界面點(diǎn)擊“Next”；在“ReadytoInstall”界面點(diǎn)擊“Install”。⑤在完成界面點(diǎn)擊“Finish”，完成AWVS的安裝。在解壓后的文件夾，雙擊運(yùn)行注冊(cè)機(jī)，破解AWVS⑦在“用戶帳戶控制”提示框點(diǎn)擊“是”；在注冊(cè)機(jī)界面點(diǎn)擊“PATCH”。⑧在注冊(cè)機(jī)的運(yùn)行結(jié)果框中提示“成功”后，關(guān)閉注冊(cè)機(jī)；在AWVS的“Activation”界面點(diǎn)擊“Next”。⑨在“Connection”界面設(shè)置代理，點(diǎn)擊“Next”；在彈出的提示框點(diǎn)擊“確定”；關(guān)閉彈出的網(wǎng)頁(yè)鏈接；點(diǎn)擊“Finish”，完成AWVS的破解。STEP02：使用AWVS工具對(duì)目標(biāo)服務(wù)器：安信華web弱點(diǎn)測(cè)試系統(tǒng)，進(jìn)行漏洞掃描。①在客戶端打開(kāi)AWVS，點(diǎn)擊File—>New—>WebSiteScan。②彈出ScanWizard的ScanType配置界面，在WebsiteURL文本框中輸入服務(wù)器的訪問(wèn)地址：35:8080/DVWA/login.php，點(diǎn)擊“Next”。③進(jìn)入ScanWizard的Options配置界面，Options的設(shè)定分為兩部門：Scanningprofile和Scansetting。此處都按照默認(rèn)方式（default），點(diǎn)擊“Next”。④在ScanWizard的Target界面顯示初步探測(cè)結(jié)果，點(diǎn)擊“Next”。Basepath：表示開(kāi)始的掃描目錄，/表示根目錄Serverbanner：表示被掃描服務(wù)器的banner信息TargetURL：被掃描服務(wù)器的網(wǎng)址Operatingsystem：被掃描服務(wù)器的操作系統(tǒng)類型WebServer：被掃描服務(wù)器的Web信息⑤由于目標(biāo)網(wǎng)站需要登錄，點(diǎn)擊“NewLoginSequence”—>在彈出的“LoginSequenceRecorder”界面點(diǎn)擊“Next”—>在安信華web弱點(diǎn)測(cè)試系統(tǒng)的登陸界面輸入用戶名和密碼，點(diǎn)擊“登陸”—>登陸成功后點(diǎn)擊“LoginSequenceRecorder”界面的“Next”—>彈出“Autodetection”提示框，點(diǎn)擊“是”—>關(guān)閉“Tryingtoautodetectsessionlogout…”提示框—>繼續(xù)在“LoginSequenceRecorder”界面點(diǎn)擊“Next”—>在“LoginSequenceRecorder”界面點(diǎn)擊“Finish”，完成登陸步驟錄制—>此時(shí)，ScanWizard界面的“Loginsequence”下拉菜單中會(huì)自動(dòng)選擇剛剛錄制完成的登陸步驟文件，點(diǎn)擊“Next”。⑥在ScanWizard的Finish界面點(diǎn)擊“Finish”按鈕結(jié)束設(shè)置，開(kāi)始掃描。⑦掃描結(jié)束，查看掃描結(jié)果。在中間欄ScanResults處可以看到：掃描結(jié)果按風(fēng)險(xiǎn)分為高、中、低三種。STEP03：分析掃描結(jié)果。點(diǎn)擊選中任一掃描結(jié)果，在右欄可以看到漏洞的詳細(xì)信息，但針對(duì)這些漏洞進(jìn)行的攻擊測(cè)試需要使用另外的工具。攻擊測(cè)試。STEP02：運(yùn)行CSRFTester。雙擊CSRFTester-1.0文件夾下的run.bat文件，在彈出的“安全警告”提示框點(diǎn)擊“運(yùn)行”，啟動(dòng)CSRFTester，cmd窗口提示此軟件的監(jiān)聽(tīng)端口為8008。STEP03：在客戶端設(shè)置360瀏覽器代理。點(diǎn)擊360瀏覽器界面的“工具”—>“代理服務(wù)器”—>“代理服務(wù)器設(shè)置”—>在彈出的“代理服務(wù)器設(shè)置”對(duì)話框輸入“:8008”—>最后在“代理服務(wù)器”處選中該代理。STEP04：用360瀏覽器訪問(wèn)目標(biāo)網(wǎng)站：安信華web弱點(diǎn)測(cè)試系統(tǒng)，登陸后點(diǎn)擊左欄的“A5-跨站請(qǐng)求偽造（CSRF）”。STEP05：在CSRFTester界面點(diǎn)擊“StartRecording”，開(kāi)始抓取數(shù)據(jù)包。STEP06：在安信華web弱點(diǎn)測(cè)試系統(tǒng)輸入修改后的密碼，點(diǎn)擊“更改”。STEP07：在CSRFTester中抓取到目標(biāo)數(shù)據(jù)包后，點(diǎn)擊“StopRecording”。STEP08：在CSRFTester界面點(diǎn)擊抓取的數(shù)據(jù)包，在“QueryParameters”處修改參數(shù)值，例如該處的“password_