讓企業伺服器更安全十大漏洞掃描程式
現在有許多訊息令我們感到Web的危險性,因此,當前如何構建一個安全的Web環境成為網管員和安全管理員們義不容辭的責任。
但是巧婦難為無米之炊,該選擇哪些安全工具呢?
掃描程式可以在幫助造我們造就安全的Web站點上助一臂之力,也就是說在黑客“黑”你之前,先測試一下自己系統中的漏洞。我們在此推薦10大Web漏洞掃描程式,供您參考。
1. Nikto
這是一個開源的Web伺服器掃描程式,它可以對Web伺服器的多種專案(包括3500個潛在的危險檔案/CGI,以及超過900個伺服器版本,還有250多個伺服器上的版本特定問題)進行全面的測試。其掃描專案和外掛經常更新並且可以自動更新(如果需要的話)。
Nikto可以在儘可能短的週期內測試你的Web伺服器,這在其日誌檔案中相當明顯。不過,如果你想試驗一下(或者測試你的IDS系統),它也可以支援LibWhisker的反IDS方法。
不過,並非每一次檢查都可以找出一個安全問題,雖然多數情況下是這樣的。有一些專案是僅提供資訊(“info only” )型別的檢查,這種檢查可以查詢一些並不存在安全漏洞的專案,不過Web管理員或安全工程師們並不知道。這些專案通常都可以恰當地標記出來。為我們省去不少麻煩。
2. Paros proxy
這是一個對Web應用程式的漏洞進行評估的代理程式,即一個基於Java的web代理程式,可以評估Web應用程式的漏洞。它支援動態地編輯/檢視HTTP/HTTPS,從而改變cookies和表單欄位等專案。它包括一個Web通訊記錄程式,Web圈套程式(spider),hash 計算器,還有一個可以測試常見的Web應用程式攻擊(如SQL隱碼攻擊式攻擊和跨站指令碼攻擊)的掃描器。
3. WebScarab
它可以分析使用HTTP 和HTTPS協議進行通訊的應用程式,WebScarab可以用最簡單地形式記錄它觀察的會話,並允許操作人員以各種方式觀查會話。如果你需要觀察一個基於HTTP(S)應用程式的執行狀態,那麼WebScarabi就可以滿足你這種需要。不管是幫助開發人員除錯其它方面的難題,還是允許安全專業人員識別漏洞,它都是一款不錯的工具。
4. WebInspect
這是一款強大的Web應用程式掃描程式。SPI Dynamics的這款應用程式安全評估工具有助於確認Web應用中已知的和未知的漏洞。它還可以檢查一個Web伺服器是否正確配置,並會嘗試一些常見的Web攻擊,如引數注入、跨站指令碼、目錄遍歷攻擊(directory traversal)等等。
5. Whisker/libwhisker
Libwhisker是一個Perla模組,適合於HTTP測試。它可以針對許多已知的安全漏洞,測試HTTP伺服器,特別是檢測危險CGI的存在。Whisker是一個使用libwhisker的掃描程式。
6. Burpsuite
這是一個可以用於攻擊Web應用程式的整合平臺。Burp套件允許一個攻擊者將人工的和自動的技術結合起來,以列舉、分析、攻擊Web應用程式,或利用這些程式的漏洞。各種各樣的burp工具協同工作,共享資訊,並允許將一種工具發現的漏洞形成另外一種工具的基礎。
7. Wikto
可以說這是一個Web伺服器評估工具,它可以檢查Web伺服器中的漏洞,並提供與Nikto一樣的很多功能,但增加了許多有趣的功能部分,如後端miner和緊密的Google整合。它為MS.NET環境編寫,但使用者需要註冊才能下載其二進位制檔案和原始碼。
8. Acunetix Web Vulnerability Scanner
這是一款商業級的Web漏洞掃描程式,它可以檢查Web應用程式中的漏洞,如SQL隱碼攻擊、跨站指令碼攻擊、身份驗證頁上的弱口令長度等。它擁有一個操作方便的圖形使用者介面,並且能夠建立專業級的Web站點安全稽核報告。
9. Watchfire AppScan
這也是一款商業類的Web漏洞掃描程式。AppScan在應用程式的整個開發週期都提供安全測試,從而測試簡化了部件測試和開發早期的安全保證。它可以掃描許多常見的漏洞,如跨站指令碼攻擊、HTTP響應拆分漏洞、引數篡改、隱式欄位處理、後門/除錯選項、緩衝區溢位等等。
10. N-Stealth
N-Stealth是一款商業級的Web伺服器安全掃描程式。它比一些免費的Web掃描程式,如Whisker/libwhisker、 Nikto等的升級頻率更高,它宣稱含有“30000個漏洞和漏洞程式”以及“每天增加大量的漏洞檢查”,不過這種說法令人質疑。還要注意,實際上所有通用的VA工具,如Nessus, ISS Internet Scanner, Retina, SAINT, Sara等都包含Web 掃描部件。(雖然這些工具並非總能保持軟體更新,也不一定很靈活。)N-Stealth主要為Windows平臺提供掃描,但並不提供原始碼。
相關文章
- 十大Web網站漏洞掃描程式工具Web網站
- 容器映象安全:安全漏洞掃描神器Trivy
- 【求】安全漏洞掃描工具 xscan
- WEB安全漏洞掃描與處理(上)——安全漏洞掃描工具AppScan的安裝使用WebAPP
- AWVS掃描器掃描web漏洞操作Web
- 安全掃描工具
- 自制分散式漏洞掃描分散式
- 如此簡單遠端漏洞掃描實現雲安全
- 在Linux中,如何進行安全漏洞掃描?Linux
- DAST 黑盒漏洞掃描器 第四篇:掃描效能AST
- WEB安全漏洞掃描與處理(下)——安全報告分析和漏洞處理Web
- DAST 黑盒漏洞掃描器 第五篇:漏洞掃描引擎與服務能力AST
- 網站漏洞掃描工具Uniscan網站
- 系統漏洞掃描工具Nessus
- WordPress漏洞掃描工具WPScan
- Web漏洞掃描篇-Nessus使用Web
- Rust 程式碼質量和漏洞掃描工具 - RedditRust
- Nessus漏洞掃描教程之使用Nmap工具掃描識別指紋
- 掃描王 for Mac專業圖片掃描工具Mac
- Android漏洞掃描工具Code ArbiterAndroid
- 漏洞掃描軟體Nessus使用教程
- 【知識分享】安全漏洞掃描是什麼有什麼功能
- Python-FTP漏洞掃描指令碼PythonFTP指令碼
- 網路安全漏洞掃描工具有哪些?老男孩網路安全入門教程
- 主機安全掃描工具-- vuls
- 【網路安全必備篇】有哪些好用的網站漏洞掃描工具?網站
- iPhone6s/Plus關閉Touch ID指紋掃描會更安全?iPhone
- burp suite工具web漏洞掃描步驟UIWeb
- 駭客玩具入門——4、漏洞掃描與Metasploit
- Nessus漏洞掃描教程之安裝Nessus工具
- 埠掃描網路安全工具——NMAP
- 安全科普:Waf實現掃描器識別 徹底抵擋駭客掃描
- 掃描技術和掃描工具
- 【推薦】超好用的5款漏洞掃描工具!
- Linux 平臺下的漏洞掃描器 VulsLinux
- W13Scan 掃描器挖掘漏洞實踐
- 【知識分享】漏洞評估掃描的步驟
- Nexpose v6.6.247 for Linux & Windows - 漏洞掃描LinuxWindows