一、背景

        想针对自己项目或者小公司的Web安全做相关扫描，自己做漏洞进行自查工作，能够减少自身系统的安全风险，提高系统的安全性。但是没有找到一些开源性质的、扫描质量比较高的相关工具，使用安全公司的专业产品价格又承受不起。

        功夫不负有心人，找了两款开源或者具备有社区版的Web安全漏洞扫描工具: AWVS、Goby。

         使用下来感觉还蛮不错的。 至少也能扫描到一些常见OWASP的TOP10漏洞、常规漏洞等，避免安全部门来扫描的时候让我们去整改(被扫出漏洞，要么扣分、要么罚款，按照漏洞级别进行惩罚)。  所以说主动做这个事情对我们本身也是有益的。

1、AWVS

        Acunetix Web Vulnerability Scanner（AWVS）是一款专业级别的自动化Web应用程序安全扫描工具，由Acunetix公司开发。AWVS旨在帮助企业、组织和安全专家检测和评估Web应用程序中的潜在安全漏洞。它通过模拟攻击和深入扫描技术，能够识别出多种类型的Web安全威胁，包括但不限于：

• SQL注入
• 跨站脚本（XSS）
• 文件包含漏洞
• 目录遍历
• 认证和会话管理问题
• 不安全的直接对象引用
• 敏感数据泄露
• 缺乏功能级访问控制
• 不安全的反序列化
• 使用含有已知漏洞的组件
• 不安全的通讯
• 未验证的重定向和转发

AWVS的主要特点包括：

1. 深度扫描能力：AWVS能够对Web应用程序进行全面扫描，不仅包括表面层面的HTML和CSS，还能深入到动态生成的内容和客户端脚本。

2. 智能爬虫：内置的网络爬虫能够自动发现和枚举Web应用程序的所有可访问页面和功能，包括AJAX和框架中的内容。

3. 自动化与定制：AWVS提供预设的扫描模板，同时也允许用户自定义扫描策略，包括选择特定的漏洞类型进行扫描。

4. 详细的报告：扫描完成后，AWVS生成详细的报告，包括发现的每一个漏洞的信息、严重程度、位置以及修复建议。

5. 直观的用户界面：AWVS拥有一个图形用户界面，使得非技术背景的用户也能够轻松使用。

6. 集成与扩展性：AWVS可以与多种CI/CD工具和开发环境集成，支持自动化扫描和持续集成流程。

7. 实时监测与警报：AWVS能够实时监测Web应用程序的健康状况，并在发现新漏洞时发出警报。

8. 合规性报告：支持生成符合PCI DSS、OWASP Top 10等标准的报告，帮助组织达到合规要求。

9. 多目标扫描：能够同时对多个Web应用程序进行扫描，适用于企业级环境。

10. 代理功能：可以作为中间代理，捕获和分析Web流量，用于更细致的安全审计。

11. 云与本地部署选项：AWVS提供云端服务和本地部署版本，满足不同场景下的需求。

        需要注意的是，尽管AWVS是一款强大的工具，但它不能替代人工渗透测试和专业的安全审查。它应该被视为安全评估过程中的一个辅助工具，用于快速识别可能的风险点，后续还需要结合人工分析和测试来确认和修复发现的问题。

2、Goby

        Goby是一款先进的网络安全测试工具，专注于网络空间测绘和漏洞扫描，由知名安全专家赵武（网名Zwell）创建，他也是Pangolin、JSky和FOFA等其他安全工具的作者。Goby的设计理念强调实战性和体系性，旨在为企业提供全面的网络安全防护方案。

以下是Goby的一些主要特性和功能：

1. 资产发现与管理：Goby能够帮助企业梳理和管理其网络资产，包括硬件设备、服务器、网络设备和应用系统，建立完整的资产知识库。

2. 漏洞扫描：Goby具备高效的漏洞扫描能力，能够自动检测网络设备和Web应用中存在的安全漏洞，支持超过10万种规则的识别引擎。

3. 网络空间测绘：通过网络空间测绘技术，Goby可以绘制出目标网络的详细地图，包括开放端口、服务、操作系统信息等，帮助安全团队了解网络架构和潜在的攻击面。

4. 自动化工作流：Goby支持自动化扫描和报告生成，减少手动操作，提高效率。同时，它还能够自动切换和扩展攻击路径，实现从一个入口点到横向移动的快速过渡。

5. 自定义规则与插件：用户可以自定义漏洞扫描规则和开发插件，增强工具的功能和适应性，使其能够应对不断变化的威胁形势。

6. 用户友好的界面：Goby提供了直观的用户界面和多个皮肤选项，使得安全测试和管理变得更加简便和高效。

7. 跨平台支持：Goby可在Windows、Linux和macOS等操作系统上运行，提供广泛的兼容性。

8. 报告与导出：工具内置了报告导出功能，可以生成详细的扫描报告，便于安全团队分析和分享结果。

9. 教育与培训价值：Goby通过智能自动化的方式，帮助安全新手熟悉攻防演练，同时也助力高级渗透测试人员快速定位和攻克目标。

10. 社区与生态：Goby有一个活跃的用户社区，提供技术支持、插件共享和最佳实践交流。

        Goby作为一个开源项目，对于网络安全研究者和企业来说，是一个值得探索的资源，它不仅提供了一套强大的安全测试工具，还促进了网络安全领域内的知识共享和技术进步。由于它是免费提供的，这使得它成为众多企业和个人用户的首选工具之一。

二、工具使用过程

1、AWVS

1、docker安装，方便、快捷

docker run -it -d -p 443:3443 --cap-add LINUX_IMMUTABLE secfa/docker-awvs:240111130

访问路径:  https://$ip:443

默认访问账号和密码:  admin@admin.com  Admin123

2、添加扫描站点

3、查看扫描任务

4、查看扫描漏洞

 5、查看生成扫描报告，查看pdf

 

 

 

2、Goby

官网:  https://gobysec.net/

1、安装GUI客户端

2、套路一样，添加资产信息，进行扫描即可

 三、关于网络安全与渗透的思考

        网安是一个复杂的学科，除非是大公司或者非常看重安全的公司，一般需要第三方专业安全公司去做这个事情才是有保障。 毕竟有一些赔付协议在里面，同时专业的安全公司，他们的处理能力和预防能力更强。

        说实在的，中小型公司很多老板对网络安全不是很重视，或者说在对网络安全上，不想投入成本。 但是，如果哪天因为被人利用漏洞入侵到系统，删除数据或者做一些恶意的操作才后悔，那就太晚了。报警都没用，侦查难度高，同时看你这个损失满不满足立案的门槛。

        所以要防范于未然，除了DDOS这种无脑攻击无能为力(上WAF这些太氪金了,普通小企业根本扛不住，大公司都得脱一层皮)。其它如SQL注入、XSS、CSRF等等常见的OWASP Top10漏洞要做好防范，至少90%的"黑客"搞不到你这边了。 剩下的10%,只能说看运气了，真的要有人搞你，方法多的是，除非你的任何资源都不在公网展示了，那也等于倒闭了.