这是一个早想学习的项目。AWVS刚刚部署到服务器上,在使用中,批量扫描目标十分麻烦,服务器配置垃圾,一次性扫描三个都够呛,隔一会就得重新添加目标,十分不便,这时候自动化扫描就十分重要。
1、在服务器中配置AWVS
https://www.cnblogs.com/cmredkulaa/p/14771480.html
利用简单便携的docker,直接拉了一个AWVS并设置端口映射。
2、编写一个简易的脚本抓取火线里面的资产。
由于直接利用爬虫爬取火线有难度(我太菜了不会)
只能笨拙的复制资产范围内的源代码
复制到jdsource.txt
正则表达式匹配并存进url.txt
3、测试AWVS基本API,参考国光的API分析博客
抓包分析得知X-Auth为AWVS,API连接使用的身份认证
在AWVS中拿到APIkey
4、测试添加目标等API
一开始根据文档的写法,一直报错说提交参数有问题
用国光的curl测试API,能成功
和之前的基本API测试方法只有多一个POST方式传data,应该是这里有问题。
看了很久之后,发现这里python传data需要将python对象转化为json对象,AWVS才能接受。
已经写完了,忘记更新了,记录一下