360在线网站安全检测，web安全测试AppScan扫描工具，XSS常用的攻击手法

如何做好网站的安全性测试

360网站安全检测 - 在线安全检测，网站漏洞修复，网站后门检测
http://webscan.360.cn/
安全报告演示案例
http://webscan.360.cn/index/demo
网站还未认领，无法进行漏洞检测，只有认领了网站后才能进行漏洞检测
检测后，可以发现潜在漏洞，并可一键进行修复，避免黑客入侵，保护网站安全

文件验证，用浏览器访问 http://xxxx.com/webscan_360_cn.html，确认上传成功

360在线网站安全检测的需要在阿里云-云盾控制台－应用防火墙下添加白名单ip 0.0.0.0后才能完成检测，检测完成后再删除这个白名单。

------------------------------------
由于您网站的网络问题，本次检测未完成，建议您检查您的网站是否能正常访问？
或您的服务器禁止了360检测服务器访问，请把360检测服务器IP加白或暂停您服务器防火墙
或你的网站是https，平台暂不支持此类检测

360在线网站安全检测 阿里云 服务器安全(安骑士) 不支持此类检测

每次检测到 抓取网站链接 的时候就跳转到提示网站网络问题或被禁止了，这时候访问网站是正常的，请问这个要怎么处理才能让360安全检测的能够完成呢？

阿里云ECS无法进行360网站安全检测的图文教程_百度经验
http://jingyan.baidu.com/article/f3ad7d0f0d4e6b09c3345b08.html

向阿里云提交了工单，回复如下：
360在线网站安全检测是360公司提供的网站安全检测产品，该产品会对网站进行模拟黑客行为对网站进行探测来检查网站的安全情况。由于这些请求带有安全风险，会被云盾应用防火墙进行拦截。且这些请求都是从360网站安全卫士集群ip地址发出，且攻击流量较大，速度也较快，导致触发了应用防火墙的防护机制，将360网站安全卫士的集群ip加入了黑名单，在一定时间内封禁其所有的访问，所以会导致您在使用360在线网站安全检测的时候出现18%的错误提示。
您可以在云盾控制台－应用防火墙下添加白名单ip 0.0.0.0解决。
强烈建议您在通过360网站安全检查后，删除此白名单恢复云盾的应用防火墙功能。
注：白名单ip 0.0.0.0 的意思是所有有风险的ip请求云盾防火墙不进行拦截。
M享主机-M3(云) /共享主机是不支持 开放白名单功能的。
=====================================
安装web安全测试AppScan扫描工具，win10安装后无法使用问题解决方案
web安全测试---AppScan扫描工具
http://www.cnblogs.com/fnng/archive/2012/05/27/2520594.html
文章上的7.8.0.2-AppScan_Setup.exe安装不了，另外补丁文件也下载不了的

AppScan是对网站等WEB应用进行安全攻击，通过真刀真枪的攻击，来检查网站是否存在安全漏洞；既然是攻击，肯定要有明确的攻击对象吧，比如北约现在的对象就是卡扎菲上校还有他的军队。对网站来说，一个网站存在的页面，可能成千上万。每个页面也都可能存在多个字段（参数），比如一个登陆界面，至少要输入用户名和密码吧，这就是一个页面存在两个字段，你提交了用户名密码等登陆信息，网站总要有地方接受并且检查是否正确吧，这就可能存在一个新的检查页面。这里的每个页面的每个参数都可能存在安全漏洞，所有都是被攻击对象，都需要来检查。
---------------------------
appscan9.0破解版下载地址：http://pan.baidu.com/s/1jHF0fQm

安装后无法使用，直接用管理员运行也提示：系统管理员已阻止此程序，请与管理员联系。
家庭版的win10没有本地策略组、本地用户和组这些功能，只有Windows10 Pro（专业版）版本以上才有这些功能。如果要解决这些功能，就需要升级到专业版。
在开始菜单处通过设置→系统→关于,进入系统信息页面，页面最下面有“更改产品密匙或升级Windows版本”的选项。
点击更改产品密匙，输入升级专业版万能产品密匙：VK7JG-NPHTM-C97JM-9MPGT-3V66T，等待系统验证，自动重启电脑。

升级后按WIN+R键，打开“运行”，然后输入“gpedit.msc",打开组策略，这个在控制面板中也可以打开。
在组策略里找到“计算机配置”-“Windows设置”-“安全设置”-“本地策略”-“安全选项”，在“安全选项”里认真查找“用户帐户控制-以管理员模式批准运行所有管理员”这项，将这项禁用掉，重启电脑后可以解决无法运行的问题。
到文件夹里面的exe文件右键，以管理员身份运行 仍然无法打开，重启电脑后以管理员身份运行可以执行。
输入网站首页的URL会自动把整个网站的页面都抓取出来并测试安全性，目前检测结构没有安全性问题。

Win10专业版永久激活方法（经测试只在开始时生效，联网后又不行了）：
slmgr /ipk VK7JG-NPHTM-C97JM-9MPGT-3V66T
slmgr /skms kms.xspace.in
slmgr /ato

slmgr.vbs -xpr

--------------------------------

测试扫描百度

=====================================
安全性测试-XSS常用的攻击手法
1.依赖跨站漏洞，需要在被攻击网站的页面种入脚本的手法
Cookie 盗取，通过javascript. 获取被攻击网站种下的cookie，并发送给攻击者。
从cookie 中提取密码等隐私，利用cookie 伪造session，发起重放攻击。

2.Ajax 信息盗取，通过javascript. 发起ajax 请求。
从ajax 结果中获取隐私。模拟用户完成多页表单。

3.不依赖跨站漏洞的手法
单向HTTP 动作，通过img.src 等方法发起跨站访问，冒充被攻击者执行特权操作。但是很难拿到服务器的返回值。
双向HTTP 动作，如果服务器产生一段动态的script，那么可以用script.src 的方法，发起跨站访问并拿到服务器的返回值。

------------------------------------