漏洞扫描软件AWVS的介绍和使用网站漏洞在线扫描( 二 ) _漏洞扫描软件AWVS的介绍和使用

CVSS评分系统中规定：漏洞的最终得分最大为10，最小为0 。得分7-10分的漏洞通常被认为比较严重，得分在4-6.9分之间的是中级漏洞，0-3.9分的则是低级漏洞。其中，7~10分的漏洞都是必须要修复的。
下图展示的是CVSS计算指标：

在Scans页面选择报告类型，点击导出
在Reports页面可选择要下载的报告格式类型，包括pdf和html AWVS在扫描结束后还可以根据不同要求不同阅读方式，可生成不同类型的报告和细则，然后点击导出报告图标即可导出此次安全扫描报告。

4. 验证漏洞的真实性根据针对公司多个项目的扫描，得到了几种常见的漏洞情况，以下是这几种漏洞的验证方法：
4.1 SQL盲注/SQL注入验证方法：利用sqlmap，GET、POST方式可以直接sqlmap -u url，cookie SQL注入新建txt文档把请求包大数据复制粘贴到里面，再利用sqlmap -r xxx.txt，查寻是否存在注入点。
sqlmap使用教程可参考：
https://www.acunetix.com/vulnerability-scanner/
4.2 CSRF跨站伪造请求攻击CSRF，利用已登录的用户身份，以用户的名义发送恶意请求，完成非法操作。
举例说明：用户如果浏览并信任了存在CSRF漏洞的网站A，浏览器产生了相应的cookie，用户在没有退出该网站的情况下，访问了危险网站B。危险网站B要求访问网站A，发出一个请求。浏览器带着用户的cookie信息访问了网站A，因为网站A不知道是用户自身发出的请求还是危险网站B发出的请求，所以就会处理危险网站B的请求，这样就完成了模拟用户操作的目的。
验证方法：