AWVS实战：从‘完全扫描’到结果分析，一次搞定DVWA的78个漏洞

AWVS深度扫描DVWA实战：从配置优化到78个漏洞的精准分析

第一次接触AWVS时，面对密密麻麻的扫描结果总有种无从下手的感觉——那些标红的"高危漏洞"真的都值得关注吗？为什么同一个靶场环境每次扫描出的漏洞数量会有差异？本文将用一次完整的DVWA扫描实战，带你掌握从扫描配置到报告解读的全套方法论。

1. 扫描前的关键配置策略

在安全测试领域，扫描器的配置往往比扫描本身更重要。一次糟糕的配置可能导致漏报（False Negative）或者海量的误报（False Positive）。针对DVWA这类训练靶场，我们需要特别注意以下几个配置要点：

1.1 登录会话的正确录制

DVWA需要登录后才能访问大多数漏洞页面，因此登录序列录制是扫描成功的前提。不同于生产环境，DVWA的登录机制有几个特殊之处：

• Cookie有效期：DVWA默认会话有效期较短，建议在config.inc.php中将$DVWA[ 'session_regenerate' ]设置为false
• 安全等级设置：务必在扫描前通过/security.php将安全级别调到"low"，否则会触发CSRF保护机制

录制登录序列时，推荐使用以下步骤：

GET /DVWA-master/login.php HTTP/1.1 POST /DVWA-master/login.php HTTP/1.1 username=admin&password=password&Login=Login GET /DVWA-master/security.php HTTP/1.1 POST /DVWA-master/security.php HTTP/1.1 security=low&seclev_submit=Submit

注意：不要录制phpinfo.php等测试页面，这些无关请求可能导致扫描结果失真

1.2 扫描速度与深度权衡

AWVS提供五种扫描速度预设，对DVWA这类本地环境，推荐配置：

选择"中等"速度时，AWVS会：

• 执行所有漏洞检测模块
• 对每个参数进行模糊测试
• 保持合理的请求间隔避免漏检

1.3 路径排除与敏感设置

DVWA中有几个需要特别处理的路径：

# 建议排除的路径 /DVWA-master/logout.php /DVWA-master/setup.php /DVWA-master/phpinfo.php

这些路径要么会导致会话中断，要么会产生干扰扫描结果的无关信息。在"Scan Settings > Excluded Paths"中添加以上路径能显著提升扫描效率。

2. 扫描执行中的监控与调整

点击扫描按钮只是开始，专业的测试人员会实时监控扫描进程。AWVS的仪表盘提供了几个关键指标：

• 请求成功率：正常应保持在95%以上，如果低于80%可能需要检查网络或目标状态
• 漏洞增长曲线：健康扫描中漏洞发现速率应逐渐下降，如果突然飙升可能出现了误报
• 响应时间趋势：平均响应时间突然延长可能是目标服务器负载过高的信号

针对DVWA的扫描，特别要注意：

1. 在扫描进行到30%左右时，手动检查/DVWA-master/vulnerabilities/下的页面是否可访问
2. 如果发现连续多个"500 Internal Server Error"，可能需要暂停扫描并重置DVWA数据库
3. 对于反复出现的SQL注入误报，可以在"Vulnerability Filters"中临时禁用相关检测规则

3. 78个漏洞的智能分析方法

拿到包含78个漏洞的报告时，新手常犯的错误是逐条查看。实际上，高效的分析应该从宏观到微观：

3.1 漏洞分类统计

使用AWVS的"Group by"功能，可以快速得到漏洞分布：

[漏洞类型统计] SQL注入: 12个 (15.4%) XSS: 18个 (23.1%) 文件包含: 8个 (10.3%) 命令注入: 6个 (7.7%) CSRF: 9个 (11.5%) 其他: 25个 (32.0%)

这个分布反映了DVWA作为训练靶场的特点——故意包含了大量基础漏洞类型。在实际项目中，如果看到类似的分布，很可能意味着应用存在严重的架构级安全问题。

3.2 关键漏洞快速定位

在众多漏洞中，需要优先关注以下几类：

1. 可直接获取系统权限的漏洞：

   • 命令注入（Command Injection）
   • 文件上传（File Upload）
   • 反序列化（Deserialization）

2. 可获取敏感数据的漏洞：

   • SQL注入（SQL Injection）
   • 文件包含（File Inclusion）
   • 目录遍历（Directory Traversal）

3. 影响范围大的漏洞：

   • 存储型XSS（Stored XSS）
   • CSRF（跨站请求伪造）
   • SSRF（服务器端请求伪造）

对于DVWA的扫描结果，建议按以下优先级处理：

1. /DVWA-master/vulnerabilities/exec/下的命令注入
2. /DVWA-master/vulnerabilities/upload/下的文件上传
3. /DVWA-master/vulnerabilities/sqli/下的SQL注入

3.3 误报识别四步法

不是所有被标记的漏洞都真实存在，通过以下方法可以快速识别误报：

1. 检查请求/响应：查看AWVS提供的原始请求，确认是否触达了真实漏洞点
2. 手动验证：使用Burp Suite等工具重放攻击请求
3. 上下文分析：DVWA的某些漏洞需要特定安全等级才会显现
4. 规则匹配：检查漏洞是否匹配CWE的明确定义

例如，AWVS可能会报告DVWA登录页面的"弱密码策略"，这实际上是靶场的预设特性，不应视为真实漏洞。

4. 从扫描结果到修复建议

专业的报告不应只是漏洞列表，而应该包含可操作的修复方案。针对DVWA的典型漏洞，我们可以给出具体建议：

4.1 SQL注入修复示例

漏洞位置：

GET /DVWA-master/vulnerabilities/sqli/?id=1

AWVS检测结果：

Parameter 'id' is vulnerable to SQL injection Attack string: 1' AND 1=CONVERT(int,(SELECT table_name FROM information_schema.tables))--

修复方案对比：

对于DVWA，最简单的修复是在sqli.php中添加：

$id = $_GET['id']; if (!is_numeric($id)) { die("Invalid input"); }

4.2 XSS漏洞处理策略

DVWA中的XSS漏洞主要集中在反射型和存储型两种：

1. 反射型XSS：

   • 位置：/vulnerabilities/xss_r/
   • 修复：使用htmlspecialchars()过滤输出

2. 存储型XSS：

   • 位置：/vulnerabilities/xss_s/
   • 修复：结合输入过滤和输出编码

CSP防护示例： 在DVWA的响应头中添加：

Content-Security-Policy: default-src 'self'; script-src 'unsafe-inline'

4.3 文件包含漏洞的根治方案

DVWA中的文件包含漏洞常出现在：

/vulnerabilities/fi/?page=file1.php

AWVS可能会检测到如下攻击：

/page=../../../../etc/passwd

根治方案需要多重防护：

1. 白名单校验：

$allowed = ['file1.php', 'file2.php', 'file3.php']; if (!in_array($page, $allowed)) { die('Invalid page'); }

2. 设置open_basedir限制
3. 禁用危险函数：disable_functions = include,require

5. 扫描报告的优化输出

原始AWVS报告往往过于技术化，我们可以通过以下方式提升报告价值：

5.1 风险矩阵可视化

将78个漏洞按风险等级和修复难度分类：

这种呈现方式能让管理人员快速把握整体风险状况。

5.2 漏洞生命周期跟踪

为每个漏洞添加状态标记：

- [x] SQL注入 - /sqli/ (修复完成) - [ ] XSS - /xss_r/ (待开发修复) - [ ] 文件包含 - /fi/ (风险接受)

5.3 自定义报告模板

优秀的报告应包含：

1. 执行摘要（1页）
2. 风险概览（图表）
3. 关键漏洞详情（含截图）
4. 修复路线图
5. 附录（完整漏洞列表）

在多次扫描DVWA的过程中，我发现一个有趣的现象：同样的配置下，漏洞数量可能会有±5%的波动。这提醒我们，自动化扫描结果需要结合人工分析才能得出准确结论。对于想要深入理解漏洞原理的学习者，建议在AWVS扫描后，用Burp Suite手动复现关键漏洞，这种组合打法效果最佳。