web漏洞扫描程序设计,漏洞扫描标准
现在有很多新闻让我们感受到了网络的危险,比如文章《看Web如何摧毁你的企业》,《微软Office安全漏洞 网民即将面临最大威胁》。因此,如何构建一个安全的Web环境已经成为网络管理员和安全管理员义不容辞的责任。
但是聪明的女人,没有米是很难下厨的。我们应该选择哪些安全工具?
Scanner可以帮助我们建立一个安全的网站,也就是说,在黑客“黑”你之前,测试你自己的系统的漏洞。这里我们推荐10大Web漏洞扫描器,供大家参考。
1.尼克托
这是一个开源的Web服务器扫描器,可以全面测试Web服务器的各种项目(包括3500个潜在危险文件/CGI,超过900个服务器版本,服务器上超过250个版本特定的问题)。它的扫描项和插件经常更新,可以自动更新(如果需要)。
Nikto可以在尽可能短的时间内测试您的Web服务器,这在其日志文件中非常明显。不过,如果你想试用一下(或者测试你的IDS系统),它也可以支持LibWhisker的anti-IDS方法。
但是,并不是每次检查都能查出安全问题,虽然大多数情况下都是这样。有些项目是仅提供信息(“仅提供信息”)类型的检查,它可以发现一些没有安全漏洞的项目,但Web管理员或安全工程师并不知道这些项目。这些物品通常可以被适当地标记。省去我们很多麻烦。
2.防止外空军备竞赛代理
这是一个评估web应用程序漏洞的代理,即基于Java的Web代理,可以评估Web应用程序的漏洞。它支持动态编辑/查看HTTP/HTTPS,从而改变项目,如cookies和表单字段。它包括一个Web通信记录器、一个Web蜘蛛、一个哈希计算器和一个扫描器,可以测试常见的Web应用程序攻击,如SQL注入攻击和跨站脚本攻击。
3.甲虫
它可以分析使用HTTP和HTTPS协议进行通信的应用程序,WebScarab可以以最简单的形式记录它观察到的会话,并允许操作员以各种方式观察会话。如果你需要观察一个基于HTTP(S)的应用的运行状态,那么WebCarab I可以满足你的需求。无论是帮助开发者调试其他问题,还是让安全专业人员识别漏洞,都是一个很好的工具。
4.网络检查
这是一个强大的Web应用程序扫描器。SPI的这个应用程序安全评估工具有助于识别Web应用程序中已知和未知的漏洞。还可以检查某个Web服务器配置是否正确,尝试一些常见的Web攻击,比如参数注入、跨站脚本、目录遍历攻击等等。
5.晶须/lib晶须
Libwhisker是一个Perla模块,适合HTTP测试。它可以针对许多已知的安全漏洞测试HTTP服务器,尤其是检测危险CGI的存在。Whisker是一个使用lib whisker的扫描仪。
6.硬石膏
这是一个集成平台,可用于攻击Web应用程序。Burp suite允许攻击者结合手动和自动技术来枚举、分析、攻击Web应用程序或利用这些程序的漏洞。各种burp工具协同工作,共享信息,并允许一种工具发现的漏洞构成另一种工具的基础。
7.维基托
可以说这是一个Web服务器评测工具,可以检查Web服务器中的漏洞,提供了很多类似Nikto的功能,但是有很多有趣的特性,比如后端miner和紧密的Google集成。它是为MS.NET环境编写的,但是用户需要注册才能下载它的二进制文件和源代码。
8.Acunetix Web漏洞扫描程序
这是一个商用的Web漏洞扫描器,可以检查Web应用中的漏洞,如SQL注入、跨站脚本攻击、认证页面弱密码长度等。它有一个易于操作的图形用户界面,并可以创建专业级的网站安全审计报告。
9.Watchfire AppScan
这也是一个商业网站漏洞扫描器。AppScan提供了应用程序整个开发周期的安全测试,简化了开发前期的组件测试和安全保证。可以扫描很多常见的漏洞,比如跨站脚本攻击、HTTP响应拆分漏洞、参数篡改、隐式字段处理、后门/调试选项、缓冲区溢出等。
10.隐形飞机
N-Stealth是一款商业网络服务器安全扫描器。它的升级频率比一些免费的网页扫描仪还要高,比如Whisker/libwhisker、Nikto等。声称包含“30000个漏洞和漏洞程序”,“每天增加大量漏洞检查”,但这种说法值得怀疑。还要注意,其实所有通用的VA工具,比如Nessus,ISS互联网扫描仪,Retina,Saint,Sara等。包含Web扫描组件。(虽然这些工具并不总是保持软件更新,但它们不一定灵活。)N-Stealth主要提供对Windows平台的扫描,不提供源代码。