㈠ web漏洞掃描工具原理是什麼
掃描工具 Domain2.2 -集WHOIS查詢、上傳頁面批量檢測、木馬上傳、資料庫瀏覽及加密解密於一體。 X-way 2.5 -不錯的掃描器,功能多,使用也不難,入侵必備。 SuperScan 3.0 -強大的TCP 埠掃描器、Ping 和域名解析器。 Namp 3.5 -安全界人人皆知的非常有名氣的一個掃描器,作者Fyodor。 Hscan v1.20 -運行在Win NT/2000下的漏洞掃描工具,有GUI以及命令行兩種掃描方式。 SSS -俄羅斯安全界非常專業的一個安全漏洞掃描軟體。 U-Scan.exe -非常好的UNICODE漏洞掃描工具。 RpcScan V1.1 -可以通過135埠枚舉遠程主機RPC連接信息。 SHED 1.01 -一個用來掃描共享漏洞的機器的工具。 DSScan V1.00 -ms04-011遠程緩沖區溢出漏洞掃描專用。 Dotpot PortReady1.6 - 「綠色軟體,」無需安裝,非常小巧(23KB),具有極快的掃描速度。 WebD***Scan v1.0 -針對WEBD***漏洞的掃描工具。 注意:該軟體會被查殺! Socks Proxy Finder2 -掃描埠速度非常快的一個工具,掃描完畢後還可以導出保存起來。 sqlScan v1.2 -猜解開著1433埠的主機密碼工具。 RPC漏洞掃描器 v1.03 -針對RPC漏洞掃描的工具! 流光5.0 破解版 -國內有名的黑客掃描工具,由高級程序員小榕編寫。 WIN2K自動攻擊探測機 -Windows NT/2000 自動攻擊探測機。 4899空口令探測 -能夠快速的掃描到被安裝了radmin服務端4899埠的空口令IP。注意:會被查殺! 關鍵是你沒說你用哪種啊 ~ 具體是哪款~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
㈡ web漏洞掃描工具有哪些
1、Nexpose:跟其他掃描工具不同的是,它的功能十分強大,可以更新漏洞資料庫,也可以看出哪些漏洞可以被Metasploit Exploit,可以生成非常詳細、強大的Report,涵蓋了很多統計功能和漏洞的詳細信息。
2、OpenVAS:類似Nessus的綜合型漏洞掃描器,可以用來識別遠程主機、Web應用存在的各種漏洞,它使用NVT腳本對剁成遠程系統的安全問題進行檢測。
3、WebScarab:可以分析使用HTTP和HTTPS協議進行通信的應用程序,它可以簡單記錄觀察的會話且允許操作人員以各種方式進行查看。
4、WebInspect:是一款強大的Web應用程序掃描程序,有助於確認Web應用中已知和未知的漏洞,還可以檢查一個Web伺服器是否正確配置。
5、Whisker/libwhisker:是一個Perla工具,適合於HTTP測試,可以針對許多已知的安全漏洞,測試HTTP伺服器,特別是檢測危險CGI的存在。
6、Burpsuite:可以用於攻擊Web應用程序的集成平台,允許一個攻擊者將人工和自動的技術進行結合,並允許將一種工具發現的漏洞形成另外一種工具的基礎。
7、Wikto:是一個Web伺服器評估工具,可以檢查Web伺服器中的漏洞,並提供與Nikto一樣的很多功能,但增加了許多有趣的功能部分。
8、Watchfire AppScan:是一款商業類的Web漏洞掃描程序,簡化了部件測試和開發早期的安全保證,可以掃描許多常見的漏洞,如跨站腳本攻擊、HTTP響應拆分漏洞、參數篡改、隱式欄位處理、後門/調試選項、緩沖區溢出等等。
9、N-Stealth:是一款商業級的Web伺服器安全掃描程序,主要為Windows平台提供掃描,但並不提供源代碼。
㈢ 最好的WEB漏洞掃描工具
十大Web漏洞掃描程序,見:http://www.15897.com/blog/post/top-10-vul-scanner.html介紹
㈣ 我用織夢程序建了個網站,下載了個北極熊掃描器,掃描web漏洞,居然在我自己的網站上掃描出了100條
360網站安全檢測 你試試這個不過這個好像要求必須上線,織夢的網站漏洞本身就多,而且容易被攻擊,你的目錄人家都猜得到.因為用的人太多.我們這兒一個搞二次開發的小孩,不會編程大學學的是網路工程,他就會專門對dede進行攻擊(因為還有專門的教程如何對dede進行攻擊)
有些開源的為什麼要有那麼多漏洞呢?
他們的業務是對dede進行修改開發,以及補漏洞收費,但你自己下載使用不收費.就是您交錢了,我把漏洞給你修了,bug給你修復.您不交錢 您自行解決...不過也是人家也得吃飯...而且漏洞這東西永遠也補不幹凈,程序是人寫的 那必定有漏洞,只是相對問題大小.
dede 織夢 ecshop 我們公司接的都是些做企業站的,或者個人站長,千 八百的就做一個,這玩意接接私活,或者糊弄不懂行的客戶沒啥關系.你說要真自己補漏洞 真夠你受的.
我現在正用yii框架開發自己公司的cms呢,雖然我不是主力,分門別類的,其實就是把別人的cms系統仿一遍,但是這樣更安全一些,更好維護拓展
漏洞無窮盡,你網站代碼漏洞補好了,你還要注意你伺服器的安全各種配置,什麼許可權之類的,還有屏蔽錯誤信息神馬的.
這屬於web安全方面知識,我就一碼農,只管碼...
下面給你說說補漏洞
如果您使用了DedeCMS程序,請立即按如下流程處理:
1.在dedecms的後台更新補丁,盡可能升級為最新版本。
2.data、templets、uploads、install這幾個目錄用控制面板的「目錄保護」功能 禁止執行許可權 。
3.如果只是使用文章系統並沒有使用會員功能,則強推推薦:關閉會員功能、關閉新會員注冊、直接刪除member目錄或改名。
4.用dedecms後台的「系統」中的文件校驗和病毒掃描功能 查殺病毒木馬。
5.檢查有無/data/cache/t.php 、/data/cache/x.php和/plus/index.php 這些木馬文件,有的話則應立即刪除。
請及時關注dedecms的最新補丁,如果官方出新補丁,則應立即更新。
第一、安裝的時候資料庫的表前綴,最好改一下,不用dedecms默認的前綴dede_,可以改成ljs_,隨便一個名稱即可。
第二、後台登錄開啟驗證碼功能,將默認管理員admin刪除,改成一個自己專用的,復雜點的賬號,管理員密碼一定要長,至少8位,而且字母與數字混合。
第三、裝好程序後務必刪除install目錄
第四、將dedecms後台管理默認目錄名dede改掉。
第五、用不到的功能一概關閉,比如會員、評論等,如果沒有必要通通在後台關閉。
第六、以下一些是可以刪除的目錄:
member會員功能
special專題功能
company企業模塊
plus\guestbook留言板
以下是可以刪除的文件:
管理目錄下的這些文件是後台文件管理器,屬於多餘功能,而且最影響安全,許多HACK都是通過它來掛馬的
file_manage_control.php
file_manage_main.php
file_manage_view.php
media_add.php
media_edit.php
media_main.php
再有:
不需要SQL命令運行器的將dede/sys_sql_query.php 文件刪除。
不需要tag功能請將根目錄下的tag.php刪除。不需要頂客請將根目錄下的digg.php與diggindex.php刪除。
第七、多關注dedecms官方發布的安全補丁,及時打上補丁。
第八、下載發布功能(管理目錄下soft__xxx_xxx.php),不用的話可以刪掉,這個也比較容易上傳小馬的.
第九、DedeCms官網出的萬能安全防護代碼,登錄dedecms官網論壇查看.
第十、最安全的方式:本地發布html,然後上傳到空間。不包含任何動態內容,理論上最安全,不過維護相對來說比較麻煩。
第十一、由於黑客上傳惡意代碼的目錄主要是 /data /data/cache 和 /plus 這三個目錄,請務必設置這三個目錄的許可權,需要執行許可權的,請設置成不可寫,需要寫許可權的,請設置成不可執行,也就是這三個目錄的許可權要麼是555,要麼是644!
第十二,還是得經常檢查自己的網站,被掛黑鏈是小事,被掛木馬或刪程序就很慘了,運氣不好的話,排名也會跟著掉。所以還得記得時常備份數據.
㈤ 求推薦幾款WEB安全漏洞掃描的工具
我個人比較推薦Acunetix Web Vulnerability Scanner
你可以看看綠盟推薦10款,並有分析。http://www.xdowns.com/article/241/Article_3194.html
㈥ w10系統怎麼啟用 Web 掃描
方法/步驟
1.通過在IE瀏覽器中輸入列印機IP地址登錄web頁面, 事先必須要設置掃描安全性,否則無法實現此功能.
㈦ mac下有哪些web網站漏洞掃描的工具
WebScarab:它可以分析使用HTTP和HTTPS協議進行通信的應用程序,WebScarab可以用最簡單地形式記錄它觀察的會話,並允許操作人員以各種方式觀查會話。如果你需要觀察一個基於HTTP(S)應用程序的運行狀態,那麼WebScarabi就可以滿足你這種需要。不管是幫助開發人員調試其它方面的難題,還是允許安全專業人員識別漏洞,它都是一款不錯的工具。
㈧ 比較好的web安全掃描工具有哪些
隨著網站業務所承載內容的日益增多且重要性日益增強,網站本身的價值也越來越大,隨之由網站漏洞帶來的安全性問題也愈發嚴峻。新開通網站、新增專欄的准入質量評估,網站系統日常運行狀況的檢查預防和風險掌控,這些已成為各行業每年安全大檢查中的關鍵要素。作為具體落實定期檢查工作的安全人員,也急需選擇一款優秀的網站掃描產品進行高效徹底的Web脆弱性評估檢查,而如何選擇一款真正實用的產品成為一個比較糾結的難題。
常見Web掃描方案的優劣勢
目前常見的支持Web掃描解決方案的產品有很多,大家比較熟悉的有集成Web掃描模塊的多合一系統掃描器,網上可免費下載的開源掃描器軟體以及近幾年剛嶄露頭角的獨立Web掃描器產品等,都可以進行一定程度的Web安全掃描和漏洞發現。那麼面對如此琳琅滿目的選擇時,大家如何細致區分辨識其差異,就需嚴格立足於實際需要,最終做出最佳的判斷。
多合一的系統掃描器,通常會集主機掃描、配置核查、Web掃描及弱口令掃描於一身,是一款強大全面的多功能產品。但多合一的高度封裝導致其在進行安全掃描時,除不能分配全部計算資源在Web掃描方面,掃描引擎自身還要兼顧到全方位的權衡與調優。反觀目標Web應用呈現的種類多樣性、規模龐大性和運行特殊性,在面對動輒上萬、十萬甚至百萬級別網頁數量的網站時,這種多合一產品就表現得差強人意,使用起來有種牛拉火車的感覺;同時,高效執行掃描評估就必須具備高並發的網頁鏈接爬蟲識別和Web插件交互邏輯判斷能力,這一現實的沖突導致多合一掃描器在Web掃描及性能體驗方面效果平平,優勢不突出。
網上開源的Web掃描器軟體,盡管完全免費並可以發現一些基本的漏洞信息,但其在第一時間發現新爆Web漏洞和漏洞趨勢跟蹤分析、修補方面,完全不具備後期支撐能力。而且在人性化設計及低學習門檻方面也存在太多先天的不足,其性能與穩定性更是與商業軟體相差甚遠。
面對綜上同類產品,困惑於Web掃描場景需求種種局限的我們,很欣喜地看到了近幾年聲名鵲起的Web掃描器產品。它作為一款自動化評估類工具,依據制定的策略對Web應用系統進行URL深度發現並全面掃描,尋找出Web應用真實存在的安全漏洞,如跨站點腳本、SQL注入,命令執行、目錄遍歷和不安全的伺服器配置。Web掃描器產品可以通過主動生成統計分析報告來幫助我們正確了解Web應用漏洞的詳細分布、數量和風險優先順序,並對發現的安全漏洞提出相應有力的改進意見供後續修補參考,是幫助我們高效徹底地進行Web脆弱性評估檢查的堅實利器。
Web掃描器的三個誤區
針對現有市面上諸多品牌的Web掃描器,大家在評價它們孰優孰劣時時常過於片面極端,主要表現為三個認識誤區。
誤區1:多就是好!
認為漏洞庫條目多,檢查出來的漏洞多就是好。Web掃描器面對龐大繁多、千差萬別的應用系統,為提升檢測性能,多採用高效率的Web通用插件,以一掃多,其不再局限於某個專門應用系統,深層次聚合歸並,盡可能多地發現多種應用系統的同類漏洞。同時,對於掃描出來的非誤報漏洞,若同屬某一頁面不同參數所致的相同漏洞,歸納整理,讓最終呈現的漏洞報表簡約而不簡單,避免數量冗餘、雜亂無章。故若以毫無插件歸並能力,僅靠大量專門Web系統插件、羅列各類漏洞列表數量多來博取贊許的Web掃描器,其本質存在太多的不專業性。
誤區2:快就是好!
認為掃描速度快耗時短的就是好。網站規模日趨復雜,日常檢查時我們期待Web掃描器能有更高效率地完成掃描任務,這點無可厚非,但檢查的本質是要最大限度地提前發現足夠多的漏洞,並第一時間制定後續相應的修補計劃。故在面對同一目標站點時,Web掃描器若能在單位時間內檢測出來的有效存在漏洞數越多,這個快才是真的好。
誤區3:小就是好!
認為掃描過程中對目標業務影響小就是好!這句話本身也沒有問題,只要Web掃描器在執行掃描過程中,對目標系統負載響應和網路鏈路帶寬佔用,影響足夠小,也就是我們常說的「無損掃描」,它就具備了一款優秀Web掃描器應有的先決條件。但是,這必須是在能最大限度發現Web漏洞的前提下才能考慮的關鍵因素,脫離這個產品本質,就本末倒置了。
五個基本評優標准
那麼,評優一款Web掃描器,我們該從何處著手?具體的判斷標准有哪些呢?
全——識別種類繁多的Web應用,集成最全的Web通用插件,通過全面識別網站結構和內容,逐一判斷每一種漏洞可能性,換句話說,漏洞掃描的檢測率一定要高,漏報率務必低,最終才能輸出全面詳盡的掃描報告。這就要求其在Web應用識別方面,支持各類Web語言類型(php、asp、.net、html)、應用系統類型(門戶網站、電子政務、論壇、博客、網上銀行)、應用程序類型(IIS、Apache、Tomcat)、第三方組件類型(Struts2、WebLogic、WordPress)等;插件集成方面,支持國際標准漏洞分類OWASP TOP 10和WASC插件分類模板,允許自定義掃描插件模板,第一時間插件更新速度等。
准——較高的漏洞准確性是Web掃描器權威的象徵,可視化分析可助用戶准確定位漏洞、分析漏洞。而誤報是掃描類產品不能迴避的話題。Web掃描器通過通用插件與目標站點任一URL頁面進行邏輯交互,通過可視化的漏洞跟蹤技術,精準判斷和定位漏洞,並提供易讀易懂的詳細整改分析報告。除此之外,一款好的Web掃描器還要更具人性化,在漏洞發現後,允許掃描者進行手工、自動的漏洞批量驗證,進而雙重保障較高的准確性結果。
快——快速的掃描速度,才能在面對越來越大的網站規模,越發頻繁的網站檢查時游刃有餘,進度保障。一款快速的Web掃描器除了有強勁馬力的掃描引擎,高達百萬/天的掃描速度,還要具備彈性靈活的集群掃描能力,任意增添掃描節點,輕松應對可能苛刻的掃描周期時間要求。
穩——穩定可靠的運行過程,對目標環境近乎零影響的Web掃描器,才能在諸行業大面積投入使用,特別是一些對業務影響要求苛刻的行業會更受青睞,畢竟沒有人能夠接受一款評估類產品,會對目標造成額外的損傷。市面上現在已有一些Web掃描器產品,其通過周期探尋目標系統,網路鏈路,自身性能負載等機制,依據目標環境的負載動態變化而自動調節掃描參數,從而保障掃描過程的足夠穩定和幾乎零影響。此外,隨著網站規模,檢查范圍的不斷擴大,保證持續穩定的掃描執行和統計評估,盡量避免掃描進度的半途而廢,也提出了較高的可靠性運行要求。
易——人性化的界面配置,低成本的報表學習和強指導性修補建議。尤其是漏洞分布詳情和場景重現方面,市面上大多數Web掃描器的報表都需要專業安全人員的二次解讀後,普通的安全運維檢查人員才能看懂,才知道長達百頁報表給出的重要建議和下一步的具體修補措施,這無疑給使用者造成了較高的技術門檻,那麼如何解決此易讀、易用問題,就成為評定其優劣與否的一個重要指標。
總之,一款優秀的Web掃描器產品,它需要嚴格恪守五字核心方針,全、准、快、穩、易,做到全方位均衡,這樣才能做到基本優秀。同時,隨著網站檢查訴求的日益多元化,它若能附帶一些差異化特性,滿足大家不同場景的網站安全運維掃描要求,如網站基本信息搜集,漏洞全過程時間軸跟蹤,逐步可視化的漏洞驗證和場景重現,自動修補直通車等,定會大大增加該款掃描器的評優力度。
㈨ 掃描WEB資料庫
使用Web安全掃描工具WebCruiser - Web Vulnerability Scanner的SQL注入功能。
一個小巧但功能不凡的Web應用漏洞掃描器,能夠對整個網站進行漏洞掃描,並能夠對發現的漏洞(SQL注入,跨站腳本,XPath注入等)進行驗證;它也可以單獨進行漏洞驗證,作為SQL注入工具、XPath注入工具、跨站檢測工具使用。
運行平台:Windows with .Net FrameWork 2.0或以上。
界面語言:英文版
功能簡介:
* 網站爬蟲(目錄及文件);
* 漏洞掃描(SQL注入,跨站腳本,XPath注入);
* 漏洞驗證(SQL注入,跨站腳本,XPath注入);
* SQL Server明文/欄位回顯/盲注;
* MySQL欄位回顯/盲注;
* Oracle欄位回顯/盲注;
* DB2欄位回顯/盲注;
* Access欄位回顯/盲注;
* 管理入口查找;
* GET/Post/Cookie 注入;
* 搜索型注入延時;
* 自動從自帶瀏覽器獲取Cookie進行認證;
* 自動判斷資料庫類型;
* 自動獲取關鍵詞;
* 多線程;
* 高級:代理、敏感詞替換/過濾;
* 報告;
----------------------------------------------
WebCruiser - Web Vulnerability Scanner
WebCruiser - Web Vulnerability Scanner, a compact but powerful web security scanning tool! It has a Crawler and Vulnerability Scanner(SQL Injection, Cross Site Scripting, XPath Injection etc. ).
It can support scanning website as well as POC( Prooving of concept) for web vulnerabilities: SQL Injection, Cross Site Scripting, XPath Injection etc. So, WebCruiser is also a SQL Injector, a XPath Injector , and a Cross Site Scripting tool!
Function:
* Crawler(Site Directories And Files);
* Vulnerability Scanner(SQL Injection, Cross Site Scripting, XPath Injection etc.);
* POC(Proof of Concept): SQL Injection, Cross Site Scripting, XPath Injection etc.;
* GET/Post/Cookie Injection;
* SQL Server: PlainText/FieldEcho(Union)/Blind Injection;
* MySQL/Oracle/DB2/Access: FieldEcho(Union)/Blind Injection;
* Administration Entrance Search;
* Time Delay For Search Injection;
* Auto Get Cookie From Web Browser For Authentication;
* Report Output.