Form与Cookie身份验证
DVWA是基于表单认证的
用w3af的扫描
detail详细的提交信息  user password 以及它们的fied （表单的name属性） url（auth登录页面的   check确认地址 启动firebug（浏览器插件）网络就可以抓包 看成功访问的页面url （http最好用firebug  wireshark强大但http显示不是很好）） string（这个不帐号登录后的显著特有的字符） format（源代码部分 uername=“”&password=“”&Login=login（抓包看到的））method（post get）等
crawl的web_spider  里面勾选第一个   only_forward  只想扫dvwa  target写http://192.1683.56.103/dvwa/ 然后勾选这个选项
follow是扫的.代表该目录  *全部的
ignore忽略的  不扫描的
通过成功身份认证进行扫描漏洞 注入 等等

cookie认证  双身份验证
格式严格
通过浏览器插件 导出cookie   gedit打开
需要一个头模版
#Netscape HTTP Cookie File
.domian。com TRUE / FALSE 1731510001 user admin   按tab跳空格
多了一个时间  要求
第一个域名/ip   标记位  在这个域里面是fou所有机器够可以访问 路径 安全相关  是否需要安全连接  时间值 是否过期从1970.1.1.0：0：0算起  如果小于当前就过期  名称与值
选择模块进行扫描
找到一种web applicaton 可以用的身份验证