如室设计网站,国际专线网络怎么申请,备案过的网站换域名,网站做cdn怎么弄随着网站越来越多元化#xff0c;内容或资讯都会不定期更新#xff0c;而每个新增的页面或连结#xff0c;都有可能带来新的漏洞#xff0c;因此#xff0c;网站的安全性
检测不论在上线前或是每次更新时#xff0c;都是务必检查的工作。
但是手动的网站检测#xff0c;… 随着网站越来越多元化内容或资讯都会不定期更新而每个新增的页面或连结都有可能带来新的漏洞因此网站的安全性
检测不论在上线前或是每次更新时都是务必检查的工作。
但是手动的网站检测对使用者而言是很大的负担尤其以目前网站动辄数百至数千页以人工方式对每一页进行澈底的安全检
测近乎不可能此时方便而自动化的检测工具就很重要了。以下介绍几套好用、便利及自动化检测的免费工具使用者可以自
行上网下载使用对网站安全进行基本的检查降低网站被入侵的风险。
二、工具介绍iiscan(亿思
亿思网站安全检测平台能够提供在线的安全检测服务让用户可以在线扫描网站的安全隐患是目前扫描速度最为理想的国内的
扫描工具。针对与网站的SQL注入跨站攻击网页篡改等存在漏洞进行扫描。目前亿思已经将网站扫描功能免费化了。而且操
作简单比较适合一般站长使用。由于亿思只提供web版故大家只能上它官网扫描地址见签名。。。不过这样也有个好处
就是把任务提交就可以不必占着内存等扫描。。Grendel-Scan
Grendel-Scan工具是一套自动化图形介面的网站安全性检测工具可运行在Windows及Macintosh作业系统上
并提供Source Code下载。 Grendel-Scan可以检测相当完整的弱点包含档案列举(File Enumeration)、
资讯泄漏(Information Leakage)、连线管理(Session Management)、XSS、恶意攻击(Miscellaneous Attacks)、
应用程式架构(Application Architecture)、网站设定(Web Server Configuration)及SQL Injection等弱点分项
使用者可对每一分项再就需要检测的项目进行细部调整。此外Grendel-Scan亦具备网站爬寻功能
因此在检测时只需提供起始页面即可取得网站树状结构并对每一页面自动检测。
Grendel-Scan也具备了许多其他好用的功能例如选择是否使用代理伺服器进行检测、
选择不同的报告输出格式、设定检测速度、预先设定须登入页面之帐号密码及设定检测时URL之黑名单与白名单等
这些都是在从事网页检测时非常方便的功能。Nikto
Nikto工具是一款能对网站伺服器执行多种安全测试的自动化扫描软体与其他工具不同的是Nikto为文字介面之检测工具
在操作上或许没有其他工具那么直觉但也不算困难可在命令提示字元下输入nikto.pl –Help即可显示详细的操作说明。 Nitko可对伺服器进行全面扫描包含超过3,500种具有潜在危险的文件或CGI档案、超过900种伺服器版本问题及逾250种特定伺服器问题。此外Nikto的扫描项目和外挂程式仍在持续更新只须在命令提示字元下输入nikto.pl –update即可至Nikto官网下载最新套件进行更新。 Nikto具有另一项特色为扫描速度快可在最短时间内对网站伺服器相关的不安全设定、错误的配置及久未更新之过时软体进行侦测是网站检测时一个很方便的利器。Burp Suite
Burp Suite 也是一套JAVA语言撰写成的网页代理伺服器型检测工具使用的方法和Paros类似但在功能上Burp Suite
却有其独特处。使用者将代理伺服器指向Burp Suite使用爬寻功能取得网站树状结构之后
即可将找到的页面送至Burp Suite中其他如扫描(Scanner)、入侵(Intruder)或重复注册检测(Repeater)等功能
其中扫描可检测XSS、SQL Injection等弱点而重复注册检测则能测试网站是否可防范大量注册或灌票等弱点。
此外入侵功能可说是Burp Suite最强大的功能之一可以对特定页面传送大量不同的参数并观察特定回传栏位的变化
对于暴力破解密码或Blind SQL Injection的检测都非常好用。唯一美中不足的地方是免费版的Burp Suite不支援或
只有部分支援某些功能(如免费版的入侵功能测试速度较慢)但其基本功能足以完成很多的网站弱点测试因此在从事网站检
测时仍是一套非常好用的工具。
本帖最后由 j8i4a2n6 于 前天08:30 编辑Burp Suite Burp Proxy - an intercepting HTTP/S proxy server which operates as a man-in-the-middle between the end browser and the target web application, allowing you to intercept, inspect and modify the raw traffic passing in both directions.Burp Spider - an intelligent application-aware web spider which allows complete enumeration of an applications content and functionality.Burp Intruder - a highly configurable tool for automating customised attacks against web applications, such as enumerating identifiers, harvesting useful data, and fuzzing for common vulnerabilities.Burp Repeater - a tool for manually manipulating and re-issuing individual HTTP requests, and analysing the applications responses.Burp Sequencer - a tool for analysing the quality of randomness in an applications session tokens or other important data items which are intended to be unpredictable.Burp Decoder - a tool for performing manual or intelligent decoding and encoding of application data.Burp Comparer - a utility for performing a visual diff between any two items of data, normally pairs of related requests and responses.基本上上面這些是Burp Suite包含的工具 如果想使用有GUI的工具進行封包編輯和網頁嗅探就用這套吧 官方網頁 http://portswigger.net/ Burp Suite網頁 http://portswigger.net/suite/ Burp Suite下載點 burpsuite_v1.1.zip Burp Suite是一个免费的网站攻击工具。它包括proxy、spider、intruder、repeater四项功能。该程序使用Java写成需要 JRE 1.4 以上版本。可以在 http://portswigger.net/suite/ 下载目前最新版本为 1.0.1。 解压之后执行 suite.bat片刻之后即可启动。 proxy spider intruder repeater proxy 在本地架设代理服务器以截获并修改浏览器发出的请求。默认设置为 127.0.0.1:8080。使用时只要将浏览器的代理服务器设置为 127.0.0.1:8080burp proxy就会截获到浏览器发出的请求并可方便地进行修改之后再向原网站发出以达到篡改cookie、URL、form等目的。 将浏览器的代理服务器设置为 localhost:8080然后访问任意一个网站。burp proxy即可截获到该请求。你可以方便地编辑该请求的内容然后按Forward按钮将编辑之后的请求发到原网站或者按Drop按钮丢弃该请求。 spider intruder repeater burp repeater可以将同样的请求多次发送。你可以不断地修改请求的各种参数并发送以寻找最好的攻击方法。 转载于:https://www.cnblogs.com/tangge/archive/2011/02/18/1957905.html
