网路游侠:某WEB应用安全扫描器介绍
我们知道,目前市面上的多数漏洞扫描系统,如我们熟知的X-Scan、流光、Nessus、NMAP等,多数是扫描操作系统、网络设备、系统应用的漏洞的,如:Windows、Linux、Unix、AIX漏洞;Cisco IOS漏洞;FTP、Apache漏洞等,而对网站应用程序自身的漏洞却几乎都无能为力(当然X-Scan和Nessus也能扫描一点注入和跨站漏洞,但很有限),作为网络管理员,就比较头大。有没有好的方式快速评估网站安全性呢?——当然是有!(废话,否则也不会有本文了 嘿嘿)
游侠安全网(www.youxia.org)拿到了某厂商送来测试的Web Application Security Scanner,专门针对WEB应用安全的扫描器,该Scanner可以扫描SQL Injection、XSS/CSS等常见WEB漏洞,并且具备渗透测试功能。下面我们来介绍。
为了演示方便,游侠在VMware安装了IIS,并安置了一个具有漏洞的网站程序,该系统的地址是:192.168.1.44,下面测试主要围绕本地址进行。
首先看下Web Application Security Scanner的界面,还是很简洁的!
“爬虫配置”-“基本配置”如下:
“检测配置”的“监测点”如下:
当然,也可以设置“例外参数”:
“策略配置”是重点,可以扫描的项目都在这里,我们看看:
具体的游侠就不多展开说了,因为这个毕竟比较敏感 呵呵
下面我们开始扫描我们的网站,点“任务向导”,有个单选:单个网站扫描、网站列表扫描,这一点我比较喜欢,直接把要扫描的“多个”网站写入到一个txt文档就可以了,很多WEB应用安全扫描器都是要一个个添加,本扫描器比较方便快捷。
下面就比较简单,输入网址基本就OK了,这里需要等待一下,因为如果网站内容比较多,速度就比较慢。
主界面会显示站点结构,顾名思义,就是网站目录结构了,毕竟扫描器是有“爬虫”的!然后会显示现在正在扫描跨站漏洞还是盲注检测等内容,看看状态:
需要测试的网站规模毕竟不大,过一阵子就检测完毕,看看结果吧,本WEB应用安全扫描器的报表功能相对而言做的不错的,可以导成各种格式,包括:PDF、HTML、MHT、RTF、XLS、XLSX、CSV、Text、Image,格式够全面吧?呵呵,我们预览下安全评估的报告:
除了有图形报表显示漏洞分布,还有漏洞详情,包括:
漏洞类型、漏洞描述、漏洞链接、HTTP方法、参数、漏洞参数、备注(漏洞的测试URL)。
可以说,作为国内的一款WEB应用安全扫描器,本软件使用简单,功能还是较为强大的,如果您对本软件感兴趣或有购买需求,也可以联系游侠安全网(www.youxia.org)。
作者:张百川(网路游侠)
网站:http://www.youxia.org
转载请注明来源!谢谢合作。
本文转自网路游侠 51CTO博客,原文链接:http://blog.51cto.com/youxia/339677
网路游侠:某WEB应用安全扫描器介绍相关推荐
- 网路游侠:某软件版WEB应用防火墙试用
去年的这个时候,游侠(www.youxia.org)认为WAF都是硬件的,后来在网上看到这个在国内做的不错的牌子.居然是软件的WAF,这样的话,一些服务器在机房托管的用户就特别需要这样的产品,因为1U ...
- 网路游侠:铱迅软件版WEB应用防火墙试用
朋友发给我这个版本好久了,一直在忙工作,没来得及看.刚写完文档,有那么一点点时间,抓紧装上看看-- 软件的安装就不说了,一路 Next,Windows版本的就这点好处,嘿嘿.装完之后,自动检测到有新版 ...
- 网路游侠:稳捷网络BeSecure WEB安全网关试用
1.前言 我们知道,传统网络安全的三大件:防火墙.入侵检测.防病毒在网络技术飞速发展的今天以不再够用,如面向WEB 2.0的热潮,越来越多关于隐私保护.WEB安全.邮件防护的问题摆在了我们面前. 稳捷 ...
- 网路游侠:用防篡改和WAF保护网站安全
前几天也给大家说过WEB应用防火墙,包括软件的和硬件的,今天网路游侠再给大家推荐个产品,当然这个是二合一的,就是:网页防篡改+WEB应用防火墙.比较有特色,好了,废话不说,正文开始: 安装就跳过了,相 ...
- 网路游侠:网站服务器安全指南(初级版)Build 20090322
修正:2009年03月22日 听取blackhat的建议,增加了登录和搜索型注入方法的更新. 2009年第一次聚会是参加einit的聚会,主题是网站安全.当时答应写一篇文章给大家参考的,结果忙的半死, ...
- 网路游侠:用网络运维操作管理平台进行网络安全管理
本来前几天在 [ 使用WEB应用防火墙保护网站安全 ] 文章末尾曾经提到最近想写数据库安全的文章的,但是Cisco 3560被征用了,所以,还是写另一个热点产品:网络运维管理操作平台. 网络运维管理操 ...
- 网路游侠:网络协议分析类产品简析
目前网络协议分析类产品火爆的很,游侠(www.youxia.org)其实在几年前就在关注这个市场,目前应该说已经做的如火如荼,但是貌似依然有很多人对这类产品认识有偏差,简单说几句: 网络协议分析类产品 ...
- 网路游侠:从Gartner象限图看网络安全发展趋势
本文的启发点,来自于Gartner的曲线图: 游侠 在这里主要做一下翻译,主要是讲安全产品或技术的发展趋势,几年内有前途的,不用多说了吧?呵呵 2 年内: 设备控制 欺诈检测 电子邮件内容过滤 安全信 ...
- Web安全测试工具介绍
如今,Web 技术繁荣发展的同时,也带来了前所未有的安全挑战.有数据统计,所有黑客入侵事件中,85% 以上都是针对 Web 应用漏洞发起的攻击. Web安全测试工具介绍 nikto 向目标发送探测数据 ...
最新文章
- Generic Data Access Layer泛型的数据访问层
- 不明白点积的几何意义
- Oracle For 循环,字符串拼接,查找
- opencv基础小程序大集合
- linux操作系统中查找某个进程,在linux下查看有哪些操作系统进程正在使用某一个共享内存段...
- [转载]Google Guava官方教程(中文版)
- tensorflow中使用tf.ConfigProto()配置Session运行参数GPU设备指定
- 基于粒子滤波的物体跟踪
- crontab 每分钟一次_Celery实现定时任务crontab
- es创建索引数量多了好还是少了好_Elasticsearch性能优化总结
- python中scale_Python中的Log-scale mathplotlib?
- 哈弗h2s车内时间怎么调_你想拥抱的品质生活,就让哈弗H4乐享版帮你实现吧
- 兰州大学计算机复试英语翻译,2019兰州大学计算机专硕复试回忆
- 浅谈虚拟桌面上线推广的最佳时机
- 嵌入式根文件系统的移植和制作详解【转】
- vgextend 扩容卷组,即把物理卷加入卷组
- 今天讲一下完整的前端模块化,很实用
- 回收站文件清理了怎么恢复
- 2019 ,摧枯拉朽式的AI洗牌之路
- traffic-control: tc流量管理简介 --TurboLinux知识库