1. Burp Suite (免費(fèi))
成都創(chuàng)新互聯(lián)專注于瑞昌企業(yè)網(wǎng)站建設(shè),響應(yīng)式網(wǎng)站設(shè)計(jì),商城系統(tǒng)網(wǎng)站開發(fā)�����。瑞昌網(wǎng)站建設(shè)公司,為瑞昌等地區(qū)提供建站服務(wù)���。全流程定制網(wǎng)站制作,專業(yè)設(shè)計(jì)���,全程項(xiàng)目跟蹤����,成都創(chuàng)新互聯(lián)專業(yè)和態(tài)度為您提供的服務(wù)
Burp Suite 其實(shí)是一個(gè)平臺(tái)�,包含不同類型的工具,相互間有許多接口��,連接便利���,能加快滲透應(yīng)用程序的進(jìn)程���。不同的工具共享相同的框架,用于顯示和處理 HTTP 消息����、身份驗(yàn)證、耐久性����、日志記錄、警報(bào)�����、代理和可擴(kuò)展性�。
Burp Suite 需要付費(fèi),但也有免費(fèi)試用版可以使用�,適用于 Linux、MAC OS X 和 Windows 操作系統(tǒng)���。
2. Nikto (免費(fèi))
Nikto 是一個(gè)開放源代碼的 Web 服務(wù)器掃描程序����,可以在 Web 服務(wù)器上執(zhí)行超過(guò) 6700 個(gè)潛在危險(xiǎn)文件和程序的測(cè)試�。也可在超過(guò) 2700 臺(tái)服務(wù)器上檢查 1250 多個(gè)舊服務(wù)器的版本和特定的版本問(wèn)題。此外��,Nikto 還可檢查服務(wù)器配置項(xiàng)目(如多個(gè)索引文件�、HTTP 服務(wù)器選項(xiàng)等),還能嘗試識(shí)別已安裝的軟件和 Web 服務(wù)器�����。其插件和掃描項(xiàng)目經(jīng)常可以自動(dòng)更新��。
其具體功能包括 SSL 支持��;完整的 HTTP 代理支持��;檢查過(guò)時(shí)的服務(wù)器組件�����;以XML����、HTML、CSV 或 NBE 等各種格式保存報(bào)告���;通過(guò)使用模板引擎輕松自定義報(bào)告�;通過(guò)輸入文件在服務(wù)器或多服務(wù)器上掃描多個(gè)端口��;識(shí)別通過(guò)頭文件���、文件和圖標(biāo)識(shí)別安裝的軟件�����;使用 NTLM 和 Basic 進(jìn)行主機(jī)驗(yàn)證�;檢查常見的“parking”站點(diǎn)�;在特定時(shí)間自動(dòng)暫停等等。
雖然 Nikto 并不可隱藏蹤跡�����,卻可以在盡可能快的時(shí)間內(nèi)測(cè)試網(wǎng)絡(luò)服務(wù)器���,還能支持 LibWhisker 的反 IDS方法����。
其實(shí)�����,并非所有的檢查都是為了查找安全問(wèn)題��。但是安全工程師和網(wǎng)站管理員有時(shí)不知道他們的服務(wù)器上存在“僅檢查信息”類型的檢查����。而通過(guò)使用 Nikto����,這些“信息類型”的檢查會(huì)在打印出的信息中標(biāo)記出來(lái)����,還能掃描到另一些針對(duì)日志文件中未知項(xiàng)目的檢查。
Nikto 可免費(fèi)使用����。由于 Nikto 基于 perl,因此只在大多數(shù)安裝了 Perl 翻譯器的系統(tǒng)上運(yùn)行��。
3. Acunetix Web Vulnerability Scanner(簡(jiǎn)稱AWVS)
是一款知名的網(wǎng)絡(luò)漏洞掃描工具��,它通過(guò)網(wǎng)絡(luò)爬蟲測(cè)試你的網(wǎng)站安全�����,檢測(cè)流行安全漏洞����,如交叉站點(diǎn)腳本,sql 注入等。在被黑客攻擊前掃描購(gòu)物車�,表格、安全區(qū)域和其他Web應(yīng)用程序����。75% 的互聯(lián)網(wǎng)攻擊目標(biāo)是基于Web的應(yīng)用程序�。因?yàn)樗麄儠r(shí)常接觸機(jī)密數(shù)據(jù)并且被放置在防火墻之前���。
WVS如何工作
WVS擁有大量的自動(dòng)化特性和手動(dòng)工具,總體而言���,它以下面的方式工作:
1.它將會(huì)掃描整個(gè)網(wǎng)站��,它通過(guò)跟蹤站點(diǎn)上的所有鏈接和robots.txt(如果有的話)而實(shí)現(xiàn)掃描���。然后WVS就會(huì)映射出站點(diǎn)的結(jié)構(gòu)并顯示每個(gè)文件的細(xì)節(jié)信息。
2.在上述的發(fā)現(xiàn)階段或掃描過(guò)程之后��,WVS就會(huì)自動(dòng)地對(duì)所發(fā)現(xiàn)的每一個(gè)頁(yè)面發(fā)動(dòng)一系列的漏洞攻擊��,這實(shí)質(zhì)上是模擬一個(gè)黑客的攻擊過(guò)程��。WVS分析每一個(gè)頁(yè)面中可以輸入數(shù)據(jù)的地方��,進(jìn)而嘗試所有的輸入組合�。這是一個(gè)自動(dòng)掃描階段。
3.在它發(fā)現(xiàn)漏洞之后�����,WVS就會(huì)在“Alerts Node(警告節(jié)點(diǎn))”中報(bào)告這些漏洞。每一個(gè)警告都包含著漏洞信息和如何修復(fù)漏洞的建議��。
4.在一次掃描完成之后��,它會(huì)將結(jié)果保存為文件以備日后分析以及與以前的掃描相比較�����。使用報(bào)告工具���,就可以創(chuàng)建一個(gè)專業(yè)的報(bào)告來(lái)總結(jié)這次掃描����。
網(wǎng)頁(yè)標(biāo)題:網(wǎng)絡(luò)安全工具普及——Web漏洞掃描類
標(biāo)題網(wǎng)址:
http://uogjgqi.cn/article/ccsegjd.html
