十五年测试老手,长期负责WEB\APP 项目测试,目前主要负责团队管理工作。
转:十大Web漏洞扫描程序介绍
上一篇 /
下一篇 2009-12-17 09:02:16
/ 个人分类:其它
51Testing软件测试网z
\&[ kD 现在有许多消息令我们感到Web的危险性。扫描程序可以在帮助造我们造就安全的Web站点上助一臂之力,也就是说在黑客“黑”你之前,先测试一下自己系统中的漏洞。我们在此推荐10大Web漏洞扫描程序,供您参考。51Testing软件测试网}8`P,_J MbD5c
[
S^8H(@!q4l,D0 1. Nikto
2O&NQ6u]051Testing软件测试网I W!^g*{!_O2L9zu 这是一个开源的Web服务器扫描程序,它可以对Web服务器的多种项目(包括3500个潜在的危险文件/CGI,以及超过900个服务器版本,还有250多个服务器上的版本特定问题)执行彻底的测试。其扫描项目和插件经常更新并且可以自动更新(如果须要的话)。51Testing软件测试网&KP0jXpz
51Testing软件测试网)w5@u1S*Ik:T Nikto可以在尽可能短的周期内测试你的Web服务器,这在其日志文件中相当明显。不过,如果你想试验一下(或者测试你的IDS系统),它也可以支持LibWhisker的反IDS要领。
ef c,GG7Rj(~8a#o0
~+F%}Lv/|0 不过,并非每一次检查都可以找出一个安全问题,虽然多数情况下是这样的。有一些项目是仅提供信息(“info only” )类型的检查,这种检查可以查找一些并不存在安全漏洞的项目,不过Web管理员或安全工程师们并不知道。这些项目通常都可以恰当地标记出来。为我们省去不少麻烦。51Testing软件测试网u+V#~
Du;Hc
vvX3L ~0 2. Paros proxy
(][,YK;x%k4[ME0X4x\&tI[*}
I L
Dr$p0 这是一个对Web应用程序的漏洞执行评估的代理程序,即一个基于Java的web代理程序,可以评估Web应用程序的漏洞。它支持动态地编辑/查看HTTP/HTTPS,从而改动 cookies和表单字段等项目。它包括一个Web通信记录程序,Web圈套程序(spider),hash 计算器,还有一个可以测试常见的Web应用程序攻击(如SQL注入式攻击和跨站脚本攻击)的扫描器。51Testing软件测试网,AEfkx6~Pf~