現(xiàn)在有許多消息令我們感到Web的危險(xiǎn)性�,如《看Web如何摧毀你的企業(yè)》和《微軟Office安全漏洞 網(wǎng)民即將面臨最大威脅》等文章�,因此��,當(dāng)前如何構(gòu)建一個(gè)安全的Web環(huán)境成為網(wǎng)管員和安全管理員們義不容辭的責(zé)任����。但是巧婦難為無米之炊,該選擇哪些安全工具呢?掃描程序可以在幫助造我們?cè)炀桶踩腤eb站點(diǎn)上助一臂之力���,也就是說在黑客“黑”你之前,先測(cè)試一下自己系統(tǒng)中的漏洞���。我們?cè)诖送扑]10大Web漏洞掃描程序���,供您參考�。 WF<0Q���H�
a � �1��bu
1. Nikto ��=vB�xwa^
7,ODh-�?ez
這是一個(gè)開源的Web服務(wù)器掃描程序,它可以對(duì)Web服務(wù)器的多種項(xiàng)目(包括3500個(gè)潛在的危險(xiǎn)文件/CGI,以及超過900個(gè)服務(wù)器版本�����,還有250多個(gè)服務(wù)器上的版本特定問題)進(jìn)行全面的測(cè)試�����。其掃描項(xiàng)目和插件經(jīng)常更新并且可以自動(dòng)更新(如果需要的話)�。 .Vq-�<�c�%
�>1xlP/4jx
Nikto可以在盡可能短的周期內(nèi)測(cè)試你的Web服務(wù)器�,這在其日志文件中相當(dāng)明顯。不過��,如果你想試驗(yàn)一下(或者測(cè)試你的IDS系統(tǒng))���,它也可以支持LibWhisker的反IDS方法�����。 3]�0ET�c�T
~P|YA��aFx
不過�����,并非每一次檢查都可以找出一個(gè)安全問題,雖然多數(shù)情況下是這樣的。有一些項(xiàng)目是僅提供信息(“info only” )類型的檢查��,這種檢查可以查找一些并不存在安全漏洞的項(xiàng)目�����,不過Web管理員或安全工程師們并不知道。這些項(xiàng)目通常都可以恰當(dāng)?shù)貥?biāo)記出來��。為我們省去不少麻煩�。 CD%wi:C%�|
PMj�qcdBzm
2. Paros proxy R�er \=�'
�v���7T0�5
這是一個(gè)對(duì)Web應(yīng)用程序的漏洞進(jìn)行評(píng)估的代理程序,即一個(gè)基于Java的web代理程序��,可以評(píng)估Web應(yīng)用程序的漏洞���。它支持動(dòng)態(tài)地編輯/查看HTTP/HTTPS,從而改變cookies和表單字段等項(xiàng)目����。它包括一個(gè)Web通信記錄程序,Web圈套程序(spider)��,hash 計(jì)算器����,還有一個(gè)可以測(cè)試常見的Web應(yīng)用程序攻擊(如SQL注入式攻擊和跨站腳本攻擊)的掃描器。 |/[?]���`�
X a�#`VDh�
3. WebScarab: p E lF,�Y
*KN'0Z@W
它可以分析使用HTTP 和HTTPS協(xié)議進(jìn)行通信的應(yīng)用程序����,WebScarab可以用最簡單地形式記錄它觀察的會(huì)話�,并允許操作人員以各種方式觀查會(huì)話��。如果你需要觀察一個(gè)基于HTTP(S)應(yīng)用程序的運(yùn)行狀態(tài)�����,那么WebScarabi就可以滿足你這種需要�����。不管是幫助開發(fā)人員調(diào)試其它方面的難題,還是允許安全專業(yè)人員識(shí)別漏洞�,它都是一款不錯(cuò)的工具����。 �9lNO �~8
UUc{1"z�{�
4. WebInspect: �w2_$>z�
FY�+0r67]�
這是一款強(qiáng)大的Web應(yīng)用程序掃描程序�����。SPI Dynamics的這款應(yīng)用程序安全評(píng)估工具有助于確認(rèn)Web應(yīng)用中已知的和未知的漏洞。它還可以檢查一個(gè)Web服務(wù)器是否正確配置���,并會(huì)嘗試一些常見的Web攻擊,如參數(shù)注入�����、跨站腳本����、目錄遍歷攻擊(directory traversal)等等。 9`VgD<?v�
4<[,"<G~3�
5. Whisker/libwhisker : 8�Y�c'4v#}
`,a�6su (?
Libwhisker是一個(gè)Perla模塊,適合于HTTP測(cè)試。它可以針對(duì)許多已知的安全漏洞�,測(cè)試HTTP服務(wù)器��,特別是檢測(cè)危險(xiǎn)CGI的存在。Whisker是一個(gè)使用libwhisker的掃描程序。 l\g>���@b�
��U|SF;T .
6. Burpsuite: yTJ Eo\g/@
��-w�n ,7;
這是一個(gè)可以用于攻擊Web應(yīng)用程序的集成平臺(tái)���。Burp套件允許一個(gè)攻擊者將人工的和自動(dòng)的技術(shù)結(jié)合起來,以列舉����、分析�、攻擊Web應(yīng)用程序���,或利用這些程序的漏洞���。各種各樣的burp工具協(xié)同工作�����,共享信息,并允許將一種工具發(fā)現(xiàn)的漏洞形成另外一種工具的基礎(chǔ)。 -wr#.8rzTT
!UHWCJ< <w
7. Wikto: RZ�MR2fP%
)LC�"rSNx%
可以說這是一個(gè)Web服務(wù)器評(píng)估工具,它可以檢查Web服務(wù)器中的漏洞,并提供與Nikto一樣的很多功能����,但增加了許多有趣的功能部分�����,如后端miner和緊密的Google集成。它為MS.NET環(huán)境編寫����,但用戶需要注冊(cè)才能下載其二進(jìn)制文件和源代碼�。 �#hMS?F��|
5a�Z�bNV}-
8. Acunetix Web Vulnerability Scanner : Rf4}((y7Y\
C)�)x#P3�6
這是一款商業(yè)級(jí)的Web漏洞掃描程序����,它可以檢查Web應(yīng)用程序中的漏洞,如SQL注入、跨站腳本攻擊�、身份驗(yàn)證頁上的弱口令長度等���。它擁有一個(gè)操作方便的圖形用戶界面����,并且能夠創(chuàng)建專業(yè)級(jí)的Web站點(diǎn)安全審核報(bào)告�����。 ��rdH3!� �
8b�J�j3vr
9. Watchfire AppScan: �!8��e;�3W
X5p�b9zRq�
這也是一款商業(yè)類的Web漏洞掃描程序��。AppScan在應(yīng)用程序的整個(gè)開發(fā)周期都提供安全測(cè)試,從而測(cè)試簡化了部件測(cè)試和開發(fā)早期的安全保證�。它可以掃描許多常見的漏洞�,如跨站腳本攻擊、HTTP響應(yīng)拆分漏洞、參數(shù)篡改����、隱式字段處理、后門/調(diào)試選項(xiàng)�、緩沖區(qū)溢出等等��。 b�4qMTRn�v
��n$ r�gJ
10. N-Stealth: d6a3\f����
"}"/d(��
N-Stealth是一款商業(yè)級(jí)的Web服務(wù)器安全掃描程序。它比一些免費(fèi)的Web掃描程序���,如Whisker/libwhisker、 Nikto等的升級(jí)頻率更高�����,它宣稱含有“30000個(gè)漏洞和漏洞程序”以及“每天增加大量的漏洞檢查”��,不過這種說法令人質(zhì)疑����。還要注意��,實(shí)際上所有通用的VA工具�,如Nessus, ISS Internet Scanner, Retina, SAINT, Sara等都包含Web 掃描部件��。(雖然這些工具并非總能保持軟件更新�,也不一定很靈活��。)N-Stealth主要為Windows平臺(tái)提供掃描�,但并不提供源代碼����。 |
公告信息