AWVS Web 安全漏洞扫描工具安装与使用指南

AWVS Web 安全漏洞扫描工具安装与使用指南

前言

Acunetix Web Vulnerability Scanner (AWVS) 是一款广泛使用的自动化 Web 安全漏洞扫描工具。它能够帮助开发者和安全人员快速发现 Web 应用中的潜在安全风险，如 SQL 注入、跨站脚本（XSS）、弱口令等。本文介绍如何在 Docker 环境下部署 AWVS，并详细说明其基本配置与扫描流程。

环境准备

在开始部署之前，请确保您的服务器满足以下要求：

• 操作系统：Linux (推荐 Ubuntu/CentOS) 或 macOS/Windows (需安装 Docker Desktop)
• Docker 环境：已安装并运行 Docker 服务
• 网络访问：能够访问 Docker Hub 拉取镜像
• 端口占用：确保服务器未被占用的端口（默认映射为 8443）

安装步骤

1. 拉取镜像

在终端中执行以下命令拉取官方或社区维护的 AWVS Docker 镜像：

docker pull secfa/docker-awvs

2. 启动容器

运行容器并将内部端口映射到宿主机。假设 VPS IP 为 your_vps_ip，将容器的 3443 端口映射到宿主机的 8443 端口：

docker run -it -d -p 8443:3443 secfa/docker-awvs

注意：生产环境中建议设置环境变量以持久化数据，避免容器重启后配置丢失。

3. 访问界面

打开浏览器，访问 https://your_vps_ip:8443。首次访问时可能会提示证书警告，点击继续访问即可。

初始配置

登录系统

默认账户信息如下：

• 用户名：[email protected]
• 密码：Admin123

登录成功后，进入主控制台界面。

修改默认凭证

出于安全考虑，强烈建议在首次登录后立即修改默认管理员密码，防止未授权访问。

扫描任务配置

添加目标站点

1. 在左侧导航栏选择'Targets'（目标）。
2. 点击'Add New Target'（添加新目标）。
3. 输入需要扫描的目标 URL（例如：http://example.com）。
4. 保存目标信息。

配置业务关键性

根据业务的重要程度，设置扫描目标的优先级。选项包括：

• Low（低）
• Normal（正常）
• Serious（严重）
• High（高）

建议对核心业务系统设置为'High'，以减少误报干扰并优先处理高风险问题。

选择扫描配置文件

AWVS 提供多种预置扫描策略，可根据需求选择：

• Full Scan（全扫描）：检测所有已知漏洞类型。
• High Risk（高风险）：仅关注高危漏洞。
• XSS（跨站脚本）：专注于脚本注入类漏洞。
• SQL Injection（SQL 注入）：专注于数据库注入漏洞。
• Weak Passwords（弱密码）：检测默认或简单密码。
• Malware Scan（恶意软件扫描）：检查是否存在恶意代码。

配置登录认证

如果目标网站需要登录才能访问，需在扫描前配置会话保持：