渗透测试收集信息完成后,就要根据所收集的信息,扫描目标站点可能存在的漏洞了,包括我们之前提到过的如:SQL注入漏洞、跨站脚本漏洞、文件上传漏洞、文件包含漏洞及命令执行漏洞等,通过这些已知的漏洞,来寻找目标站点的突破口,在这之前我们可能就已经接触过许多漏洞靶场,练习过各种漏洞的攻击方法,其实这种练习是不合理的,原因就是缺少了前期的信息收集和漏洞扫描,明确告诉了你站点的所有信息和所存在的漏洞,我们只需要根据具体漏洞,对症下药就可以了,其实对于一次真正意义上的渗透测试来说,这些信息都是需要我们自己去收集的,漏洞也是要我们自己发掘的,今天我们就讲一讲几款比较好用的漏洞扫描工具。
一、AWVS
AcunetixWebVulnerabilityScanner(简称AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞,它的官方网站是: