注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

网路游侠

www.youxia.org

 
 
 

日志

 
 

网路游侠:某WEB应用安全扫描器介绍  

2010-06-27 00:17:23|  分类: 02 游侠·原创 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
  比较纠结……刚写了很长,不小心按了一下“F5”全丢了……重新写!
  我们知道,目前市面上的多数漏洞扫描系统,如我们熟知的X-Scan、流光、Nessus、NMAP等,多数是扫描操作系统、网络设备、系统应用的漏洞的,如:Windows、Linux、Unix、AIX漏洞;Cisco IOS漏洞;FTP、Apache漏洞等,而对网站应用程序自身的漏洞却几乎都无能为力(当然X-Scan和Nessus也能扫描一点注入和跨站漏洞,但很有限),作为网络管理员,就比较头大。有没有好的方式快速评估网站安全性呢?——当然是有!(废话,否则也不会有本文了 嘿嘿)
  游侠安全网(www.youxia.org)拿到了某厂商送来测试的Web Application Security Scanner,专门针对WEB应用安全的扫描器,该Scanner可以扫描SQL Injection、XSS/CSS等常见WEB漏洞,并且具备渗透测试功能。下面我们来介绍。
  为了演示方便,游侠在VMware安装了IIS,并安置了一个具有漏洞的网站程序,该系统的地址是:192.168.1.44,下面测试主要围绕本地址进行。
  首先看下Web Application Security Scanner的界面,还是很简洁的!

  “爬虫配置”-“基本配置”如下:

  “检测配置”的“监测点”如下:

  当然,也可以设置“例外参数”:

  “策略配置”是重点,可以扫描的项目都在这里,我们看看:

  具体的游侠就不多展开说了,因为这个毕竟比较敏感 呵呵
  下面我们开始扫描我们的网站,点“任务向导”,有个单选:单个网站扫描、网站列表扫描,这一点我比较喜欢,直接把要扫描的“多个”网站写入到一个txt文档就可以了,很多WEB应用安全扫描器都是要一个个添加,本扫描器比较方便快捷。
  下面就比较简单,输入网址基本就OK了,这里需要等待一下,因为如果网站内容比较多,速度就比较慢。
  主界面会显示站点结构,顾名思义,就是网站目录结构了,毕竟扫描器是有“爬虫”的!然后会显示现在正在扫描跨站漏洞还是盲注检测等内容,看看状态:

  需要测试的网站规模毕竟不大,过一阵子就检测完毕,看看结果吧,本WEB应用安全扫描器的报表功能相对而言做的不错的,可以导成各种格式,包括:PDF、HTML、MHT、RTF、XLS、XLSX、CSV、Text、Image,格式够全面吧?呵呵,我们预览下安全评估的报告:

  除了有图形报表显示漏洞分布,还有漏洞详情,包括:
  漏洞类型、漏洞描述、漏洞链接、HTTP方法、参数、漏洞参数、备注(漏洞的测试URL)。
  可以说,作为国内的一款WEB应用安全扫描器,本软件使用简单,功能还是较为强大的,如果您对本软件感兴趣或有购买需求,也可以联系游侠安全网(www.youxia.org)。
作者:张百川(网路游侠)
网站:http://www.youxia.org
   转载请注明来源!谢谢合作。
  评论这张
 
阅读(204)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017