WVS

功能

WVS(Web Vulnerability Scanner )

WVS可以通過檢查SQL·注入攻擊漏洞、跨站腳本攻擊漏洞等來審核你的Web應用程式。

它可以掃描任何可通過Web瀏覽器訪問的和遵循HTTP/HTTPS規則的Web站點和Web應用程式。

除了自動化地掃描可以利用的漏洞，WVS還提供了分析現有通用產品和客戶定製產品（包括那些依賴於JavaScript的程式即AJAX應用程式）的一個強健的解決方案。

WVS擁有大量的自動化特性和手動工具，總體而言，它以下面的方式工作：

1.它將會掃描整個網站，它通過跟蹤站點上的所有連結和robots.txt（如果有的話）而實現掃描。然後WVS就會映射出站點的結構並顯示每個檔案的細節信息。

2.在上述的發現階段或掃描過程之後，WVS就會自動地對所發現的每一個頁面發動一系列的漏洞攻擊，這實質上是模擬一個黑客的攻擊過程。WVS分析每一個頁面中可以輸入數據的地方，進而嘗試所有的輸入組合。這是一個自動掃描階段。

3.在它發現漏洞之後，WVS就會在“Alerts Node（警告節點）”中報告這些漏洞。每一個警告都包含著漏洞信息和如何修復漏洞的建議。

4.在一次掃描完成之後，它會將結果保存為檔案以備日後分析以及與以前的掃描相比較。使用報告工具，就可以創建一個專業的報告來總結這次掃描。

WVS自動地檢查下面的漏洞和內容：

·版本檢查，包括易受攻擊的Web伺服器，易受攻擊的Web伺服器技術

·CGI測試，包括檢查Web伺服器的問題，主要是決定在伺服器上是否啟用了危險的HTTP方法，例如PUT，TRACE，DELETE等等。

·參數操縱：主要包括跨站腳本攻擊（XSS）、SQL注入攻擊、代碼執行、目錄遍歷攻擊、檔案入侵、腳本原始碼泄漏、CRLF注入、PHP代碼注入、XPath注入、LDAP注入、Cookie操縱、URL重定向、應用程式錯誤訊息等。

·多請求參數操縱：主要是Blind SQL / XPath注入攻擊

·檔案檢查：檢查備份檔案或目錄，查找常見的檔案（如日誌檔案、應用程式蹤跡等），以及URL中的跨站腳本攻擊，還要檢查腳本錯誤等。

·目錄檢查，主要查看常見的檔案，發現敏感的檔案和目錄，發現路徑中的跨站腳本攻擊等。

·Web應用程式：檢查特定Web應用程式的已知漏洞的大型資料庫，例如論壇、Web入口、CMS系統、電子商務應用程式和PHP庫等。

·文本搜尋：目錄列表、原始碼揭示、檢查電子郵件地址、微軟Office中可能的敏感信息、錯誤訊息等。

·GHDB Google攻擊資料庫：可以檢查資料庫中1400多條GHDB搜尋項目。

·Web服務：主要是參數處理，其中包括SQL注入/Blind SQL注入（即盲注攻擊）、代碼執行、XPath注入、應用程式錯誤訊息等。