網(wǎng)絡(luò)發(fā)展至今,他的高端我們都見識(shí)過(guò),但是網(wǎng)絡(luò)安全也是一直以來(lái)不變的話題,怎樣能使網(wǎng)絡(luò)更加安全呢?如何構(gòu)建一個(gè)安全的Web環(huán)境,是應(yīng)該考慮的事情��。該選擇哪些安全工具呢?我們可以再危險(xiǎn)發(fā)生之前���,先測(cè)試一下自己系統(tǒng)中的漏洞。為大家推薦10大Web漏洞掃描程序��。
1. Nikto
這是一個(gè)開源的Web服務(wù)器掃描程序,它可以對(duì)Web服務(wù)器的多種項(xiàng)目進(jìn)行全面的測(cè)試��。其掃描項(xiàng)目和插件經(jīng)常更新并且可以自動(dòng)更新�。Nikto可以在盡可能短的周期內(nèi)測(cè)試你的Web服務(wù)器,這在其日志文件中相當(dāng)明顯���。不過(guò),如果你想試驗(yàn)一下���,它也可以支持 LibWhisker的反IDS方法��。不過(guò)����,并非每一次檢查都可以找出一個(gè)安全問(wèn)題��,雖然多數(shù)情況下是這樣的�。有一些項(xiàng)目是僅提供信息類型的檢查,這種檢查可以查找一些并不存在安全漏洞的項(xiàng)目�,不過(guò)Web管理員或安全工程師們并不知道。
2. Paros proxy
這是一個(gè)對(duì)Web應(yīng)用程序的漏洞進(jìn)行評(píng)估的代理程序�,即一個(gè)基于Java的web代理程序,可以評(píng)估Web應(yīng)用程序的漏洞��。它支持動(dòng)態(tài)地編輯/查看 HTTP/HTTPS,從而改變cookies和表單字段等項(xiàng)目。它包括一個(gè)Web通信記錄程序����,Web圈套程序,hash 計(jì)算器��,還有一個(gè)可以測(cè)試常見的Web應(yīng)用程序攻擊的掃描器��。
3. WebScarab:
它可以分析使用HTTP和HTTPS協(xié)議進(jìn)行通信的應(yīng)用程序��,WebScarab可以用最簡(jiǎn)單地形式記錄它觀察的會(huì)話�����,并允許操作人員以各種方式觀查會(huì)話���。如果你需要觀察一個(gè)基于HTTP(S)應(yīng)用程序的運(yùn)行狀態(tài)���,那么WebScarabi就可以滿足你這種需要。不管是幫助開發(fā)人員調(diào)試其它方面的難題�,還是允許安全專業(yè)人員識(shí)別漏洞,它都是一款不錯(cuò)的工具��。
4. WebInspect:
這是一款強(qiáng)大的Web應(yīng)用程序掃描程序�。SPI Dynamics的這款應(yīng)用程序安全評(píng)估工具有助于確認(rèn)Web應(yīng)用中已知的和未知的漏洞���。它還可以檢查一個(gè)Web服務(wù)器是否正確配置,并會(huì)嘗試一些常見的 Web攻擊�,如參數(shù)注入、跨站腳本�����、目錄遍歷攻擊等等�����。
5. Whisker/libwhisker :
Libwhisker是一個(gè)Perla模塊����,適合于HTTP測(cè)試�����。它可以針對(duì)許多已知的安全漏洞�,測(cè)試HTTP服務(wù)器,特別是檢測(cè)危險(xiǎn)CGI的存在����。 Whisker是一個(gè)使用libwhisker的掃描程序�����。
6. Burpsuite:
這是一個(gè)可以用于攻擊Web應(yīng)用程序的集成平臺(tái)��。Burp套件允許一個(gè)攻擊者將人工的和自動(dòng)的技術(shù)結(jié)合起來(lái)���,以列舉、分析���、攻擊Web應(yīng)用程序����,或利用這些程序的漏洞����。各種各樣的burp工具協(xié)同工作,共享信息�,并允許將一種工具發(fā)現(xiàn)的漏洞形成另外一種工具的基礎(chǔ)。
7. Wikto:
可以說(shuō)這是一個(gè)Web服務(wù)器評(píng)估工具���,它可以檢查Web服務(wù)器中的漏洞�,并提供與Nikto一樣的很多功能����,但增加了許多有趣的功能部分���,如后端 miner和緊密的Google集成。它為MS.NET環(huán)境編寫��,但用戶需要注冊(cè)才能下載其二進(jìn)制文件和源代碼��。
8. Acunetix Web Vulnerability Scanner :
這是一款商業(yè)級(jí)的Web漏洞掃描程序�,它可以檢查Web應(yīng)用程序中的漏洞,如SQL注入���、跨站腳本攻擊����、身份驗(yàn)證頁(yè)上的弱口令長(zhǎng)度等��。它擁有一個(gè)操作方便的圖形用戶界面����,并且能夠創(chuàng)建專業(yè)級(jí)的Web站點(diǎn)安全審核報(bào)告�。
9. Watchfire AppScan:
這也是一款商業(yè)類的Web漏洞掃描程序。AppScan在應(yīng)用程序的整個(gè)開發(fā)周期都提供安全測(cè)試�,從而測(cè)試簡(jiǎn)化了部件測(cè)試和開發(fā)早期的安全保證����。它可以掃描許多常見的漏洞����,如跨站腳本攻擊、HTTP響應(yīng)拆分漏洞�、參數(shù)篡改、隱式字段處理���、后門/調(diào)試選項(xiàng)�����、緩沖區(qū)溢出等等�����。
10. N-Stealth:
N-Stealth是一款商業(yè)級(jí)的Web服務(wù)器安全掃描程序��。它比一些免費(fèi)的Web掃描程序��,如Whisker/libwhisker��、 Nikto等的升級(jí)頻率更高��。還要注意�,實(shí)際上所有通用的VA工具,如Nessus, ISS Internet Scanner, Retina, SAINT, Sara等都包含Web 掃描部件�����。N-Stealth主要為Windows平臺(tái)提供掃描���,但并不提供源代碼�����。
