A. 什麼是Web漏洞掃描
漏洞是指缺少安全措施或採用的安全措施有缺陷,可能會被攻擊者利用,對企業
的信息資產安全造成損害,漏洞掃描就是用漏洞掃描器發現漏洞的過程。
web漏洞通常是指網站程序上的漏洞,可能是由於代碼編寫者在編寫代碼時考慮不周全等原因而造成的漏洞,常見的WEB漏洞有sql注入、Xss漏洞、上傳漏洞等。
業內常用的Web漏洞掃描工具有:
Accunetix Web Vulnerability Scanner(AWVS)
IBM Rational AppScan
sqlmap
W3af
arachni
Zed Attack Proxy
網藤CRS
以上幾款掃描器中,前兩款屬於商業軟體,網藤CRS屬於Saas模式,新用戶可在線免費試用,後幾款均是免費開源模式
B. 如何進行Web漏洞掃描
首先根據需要選擇合適的掃描器,有條件的公司建議至少選擇2款以上的掃描器進行交叉確認,避免因某款掃描器漏報導致漏洞沒掃到而被外界利用的情況發生
其次根據掃描器的引導,定期下發掃描任務,現在的掃描器均做的都很人性化,比如有一款叫網藤風險感知的產品,可以通過輸入掃描目標(域名或IP)選擇掃描策略即可通過下發任務的形式完成漏洞掃描。任務結束後會有一份詳細的掃描報告
C. Web滲透是怎麼弄的
1.滲透目標
滲透網站(這里指定為www.xxx.com)
切記,在滲透之前要簽訂協議。
2.信息收集
建議手動檢查和掃描器選擇同時進行。
2.1 網站常規檢測(手動)
1:瀏覽www.xxx.com
1. 初步確定網站的類型:例如銀行,醫院,政府等。
2. 查看網站功能模,比如是否有論壇,郵箱等。
3. 重點記錄網站所有的輸入點(與資料庫交互的頁面),比如用戶登錄,用戶注冊,留言板等。4. 重點查看網站是否用到了一些通用的模板,比如論壇選擇了動網(dvbss),就有可能存在動網的漏洞;郵箱有可能選擇通用的郵箱系統,也有漏洞。
2: 分析網站的url1. 利用搜索引擎,搜索網站的url,快速找到網站的動態頁面。
2. 對網站的域名進行反查,查看IP,確定伺服器上的域名數,如果主頁面url檢測沒有漏洞,可以對其他的域名進行檢測。
3:審查代碼
重點對輸入代碼(比如表單)進行分析,看如何來提交輸入,客戶端做了哪些輸入的限制方法。
1. 隱藏表單欄位 hidden
2. Username,Password等
4:控制項分析
Active x 通常都是用c/c++編寫
在頁面上(通常是首頁)的源碼中搜索
1. 需要ComRaider+OD 對dll文件進行反編譯,看是否有漏洞。
2. 改變程序執行的路徑,破壞Active X 實施的輸入確認,看web的回應。
5:對常規的輸入進行手動注入測試,測試是否有sql注入和跨站漏洞,試用常規的用戶名和密碼登錄。
6:查看web伺服器的版本,確定搜索是否有低版本伺服器組件和框架的漏洞,比如通用的Java框架Struct2的漏洞。
2.2 工具選擇和使用
1:web應用程序漏洞掃描工具
Appscan: (版本7.8)
掃描漏洞比較全,中文,漏洞利用率高,檢測速度慢,需要大量內存,重點推薦。
AWVS:
英文,漏洞庫完善,檢測速度慢。
JSky
中文,檢測速度快,但深度一般。
Nessus
英文,檢測速度較快,漏洞也比較完善,免費,可及時更新,B/S界面。
2:埠掃描
Nmap
流光
3: 口令破解工具
溯雪
4:sql 注入工具
Asp+SqlServe, ACCESS:啊D注入工具
Php+MySQL : php+mysql注入工具(暗組的hacker欄中)
Jsp+ORACAL: CnsaferSI
支持以上資料庫 Pangolin
5: http代理請求
Paros
6:木馬
灰鴿子
7:提權木馬
一句話木馬大馬(具體所用的木馬參考文檔和工具包(綠盟,暗組))
5: 工具推薦使用方案
Appscan掃描出的重大漏洞,進行手工檢測(注意看漏洞是如何發現的,修改漏洞的代碼,對滲透幫助很大)。
sql注入漏洞
可以選用根據網站類型選擇sql注入工具
如果是post請求類型的url,選擇使用paros代理後,修改http請求包,進行注入。
WebDEV漏洞
可以啟用發送請求(比如DELETE對方網頁)
跨站漏洞
直接將appscan的代碼輸入測試,成功後,可以嘗試跨其他腳本(比如
遍歷漏洞:
網頁的目錄,下載網站配置文件信息,和源文件進行反編譯
反編譯:
Class 可以選用java 反編譯工具
Dll (asp.net) 選用Reflector
3.分析並滲透
---------------------
作者:centos2015
來源:CSDN
原文:https://blog.csdn.net/zonghua521/article/details/78272634
版權聲明:本文為博主原創文章,轉載請附上博文鏈接!
D. web漏洞掃描工具有哪些
1、Nexpose:跟其他掃描工具不同的是,它的功能十分強大,可以更新漏洞資料庫,也可以看出哪些漏洞可以被Metasploit Exploit,可以生成非常詳細、強大的Report,涵蓋了很多統計功能和漏洞的詳細信息。
2、OpenVAS:類似Nessus的綜合型漏洞掃描器,可以用來識別遠程主機、Web應用存在的各種漏洞,它使用NVT腳本對剁成遠程系統的安全問題進行檢測。
3、WebScarab:可以分析使用HTTP和HTTPS協議進行通信的應用程序,它可以簡單記錄觀察的會話且允許操作人員以各種方式進行查看。
4、WebInspect:是一款強大的Web應用程序掃描程序,有助於確認Web應用中已知和未知的漏洞,還可以檢查一個Web伺服器是否正確配置。
5、Whisker/libwhisker:是一個Perla工具,適合於HTTP測試,可以針對許多已知的安全漏洞,測試HTTP伺服器,特別是檢測危險CGI的存在。
6、Burpsuite:可以用於攻擊Web應用程序的集成平台,允許一個攻擊者將人工和自動的技術進行結合,並允許將一種工具發現的漏洞形成另外一種工具的基礎。
7、Wikto:是一個Web伺服器評估工具,可以檢查Web伺服器中的漏洞,並提供與Nikto一樣的很多功能,但增加了許多有趣的功能部分。
8、Watchfire AppScan:是一款商業類的Web漏洞掃描程序,簡化了部件測試和開發早期的安全保證,可以掃描許多常見的漏洞,如跨站腳本攻擊、HTTP響應拆分漏洞、參數篡改、隱式欄位處理、後門/調試選項、緩沖區溢出等等。
9、N-Stealth:是一款商業級的Web伺服器安全掃描程序,主要為Windows平台提供掃描,但並不提供源代碼。
E. APPSCAN掃描出來的web風險漏洞怎麼修復
這是一個對Web應用程序的漏洞進行評估的代理程序,即一個基於Java的web代理程序,可以評估Web應用程序的漏洞。
它支持動態地編輯/查看 HTTP/HTTPS,從而改變cookies和表單欄位等項目。它包括一個Web通信記錄程序,Web圈套程序,hash 計算器,還有一個可以測試常見的Web應用程序攻擊的掃描器。
F. 用AppScan掃描java web項目出來CSRF跨站點請求偽造漏洞,這個該怎麼寫代碼解決呢。網上的方法誰有具體例子
過濾器
//HTTP頭設置 Referer過濾
String referer =request2.getHeader("Referer"); //REFRESH
if(referer!=null&& referer.indexOf(basePath)<0){
request2.getRequestDispatcher(request2.getRequestURI()).forward(request2,response);
}
3.Autocomplete HTML Attribute Not Disabled for Password Field
修復任務: Correctly set the"autocomplete" attribute to "off"
密 碼:
<inputname="userinfo.userPwd" type="password" autocomplete = "off"/>
G. 介紹一款免費的web安全漏洞掃描軟體
你好!以下這款一直在用真心不錯
打開騰訊電腦管家----工具箱----硬體檢測----修復漏洞。
按以上步驟,你試著操作下,看能否幫你解決。
騰訊電腦管家是一款免費安全軟體,能預防和解決計算機上常見的安全風險。擁有雲查殺木馬,系統加速,漏洞修復,實時防護,網速保護,電腦診所,廣告過濾,軟體管理等功能。
H. 最好的WEB漏洞掃描工具
十大Web漏洞掃描程序,見:http://www.15897.com/blog/post/top-10-vul-scanner.html介紹