让服务器更安全的十大漏洞扫描程序[网络技术]

　　但是巧妇难为无米之炊,该挑选哪些安全工具呢?

　　扫描程序可以在帮忙造我们造就安全的Web站点上助一臂之力,也就是说在黑客"黑"你之前,先测试一下自己系统中的漏洞.我们在此举荐10大Web漏洞扫描程序,供您参考.

　　1. Nikto

　　这是一个开源的Web服务器扫描程序,它可以对Web服务器的多种项目(包含3500个潜在的危险文件/CGI,以及超越900个服务器版本,还有250多个服务器上的版本特定问题)举行全面的测试.其扫描项目和插件常常更新并且可以自动更新(假如需求的话).

　　Nikto可以在尽大概短的周期内测试你的Web服务器,这在其日记文件中相当明显.不过,假如你想试验一下(大概测试你的IDS系统),它也可以支持LibWhisker的反IDS办法.

　　不过,并非每一次查抄都可以找出一个安全问题,固然大都情形下是这样的.有一些项目是仅供应信息("info only" )范例的查抄,这种查抄可以查找一些并不存在安全漏洞的项目,不过Web管理员或安全工程师们并不知道.这些项目普通都可以恰本地标志出来.为我们省去不少麻烦.

　　2. Paros proxy

　　这是一个对Web利用程序的漏洞举行评价的代理程序,即一个基于Java的web代理程序,可以评价Web利用程序的漏洞.它支持动态地编辑/查看HTTP/HTTPS,从而改变cookies和表单字段等项目.它包含一个Web通信记录程序,Web骗局程序(spider),hash 计算器,还有一个可以测试常见的Web利用程序攻击(如SQL注入式攻击和跨站脚本攻击)的扫描器.

　　3. WebScarab

　　它可以解析利用HTTP 和HTTPS协议举行通信的利用程序,WebScarab可以用最简单地情势记录它察看的会话,并答应操作人员以各种方法观查会话.假如你需求察看一个基于HTTP(S)利用程序的运行状况,那么WebScarabi便可以满意你这种需求.不管是帮忙开辟人员调试别的方面的难题,还是答应安全专业人员辨认漏洞,它都是一款不错的工具.

　　4. WebInspect

　　这是一款强盛的Web利用程序扫描程序.SPI Dynamics的这款利用程序安全评价工具有助于确认Web利用中已知的和未知的漏洞.它还可以查抄一个Web服务器能否精确配置,并会尝试一些常见的Web攻击,如参数注入、跨站脚本、目录遍历攻击(directory traversal)等等.

　　5. Whisker/libwhisker

　　Libwhisker是一个Perla模块,合适于HTTP测试.它可以针对很多已知的安全漏洞,测试HTTP服务器,分外是检测危险CGI的存在.Whisker是一个利用libwhisker的扫描程序.

　　6. Burpsuite

　　这是一个可以用于攻击Web利用程序的集成平台.Burp套件答应一个攻击者将人工的和自动的技术结合起来,以摆列、解析、攻击Web利用程序,或操纵这些程序的漏洞.各种各样的burp工具协同工作,同享信息,并答应将一种工具发现的漏洞形成别的一种工具的底子.

　　7. Wikto

　　可以说这是一个Web服务器评价工具,它可以查抄Web服务器中的漏洞,并供应与Nikto一样的很多功效,但增添了很多风趣的功效部份,如后端miner和精密的Google集成.它为MS.NET环境编写,但用户需求注册才能下载其二进制文件和源代码.

　　8. Acunetix Web Vulnerability Scanner

　　这是一款商业级的Web漏洞扫描程序,它可以查抄Web利用程序中的漏洞,如SQL注入、跨站脚本攻击、身份考证页上的弱口令长度等.它拥有一个操作便利的图形用户界面,并且可以成立专业级的Web站点安全考核报告.

　　9. Watchfire AppScan

　　这也是一款商业类的Web漏洞扫描程序.AppScan在利用程序的整个开辟周期都供应安全测试,从而测试简化了部件测试和开辟早期的安全保证.它可以扫描很多常见的漏洞,如跨站脚本攻击、HTTP呼应拆分漏洞、参数篡改、隐式字段处理、后门/调试选项、缓冲区溢出等等.

　　10. N-Stealth

　　N-Stealth是一款商业级的Web服务器安全扫描程序.它比一些免费的Web扫描程序,如Whisker/libwhisker、 Nikto等的进级频率更高,它声称含有"30000个漏洞和漏洞程序"以及"每天增添大量的漏洞查抄",不过这种说法令人质疑.还要注意,实际上全部通用的VA工具,如Nessus, ISS Internet Scanner, Retina, SAINT, Sara等都包含Web 扫描部件.(固然这些工具并非总能保持软件更新,也不一定很机动.)N-Stealth主要为hack58.net/" target=_blank>Windows平台供应扫描,但并不供应源代码.