网路游侠:某WEB应用安全扫描器介绍

简介:
 比较纠结……刚写了很长,不小心按了一下“F5”全丢了……重新写!
  我们知道,目前市面上的多数漏洞扫描系统,如我们熟知的X-Scan、流光、Nessus、NMAP等,多数是扫描操作系统、网络设备、系统应用的漏洞的,如:Windows、Linux、Unix、AIX漏洞;Cisco IOS漏洞;FTP、Apache漏洞等,而对网站应用程序自身的漏洞却几乎都无能为力(当然X-Scan和Nessus也能扫描一点注入和跨站漏洞,但很有限),作为网络管理员,就比较头大。有没有好的方式快速评估网站安全性呢?——当然是有!(废话,否则也不会有本文了 嘿嘿)
  游侠安全网(www.youxia.org)拿到了某厂商送来测试的Web Application Security Scanner,专门针对WEB应用安全的扫描器,该Scanner可以扫描SQL Injection、XSS/CSS等常见WEB漏洞,并且具备渗透测试功能。下面我们来介绍。
  为了演示方便,游侠在VMware安装了IIS,并安置了一个具有漏洞的网站程序,该系统的地址是:192.168.1.44,下面测试主要围绕本地址进行。
  首先看下Web Application Security Scanner的界面,还是很简洁的!

  “爬虫配置”-“基本配置”如下:

  “检测配置”的“监测点”如下:

  当然,也可以设置“例外参数”:

  “策略配置”是重点,可以扫描的项目都在这里,我们看看:

  具体的游侠就不多展开说了,因为这个毕竟比较敏感 呵呵
  下面我们开始扫描我们的网站,点“任务向导”,有个单选:单个网站扫描、网站列表扫描,这一点我比较喜欢,直接把要扫描的“多个”网站写入到一个txt文档就可以了,很多WEB应用安全扫描器都是要一个个添加,本扫描器比较方便快捷。
  下面就比较简单,输入网址基本就OK了,这里需要等待一下,因为如果网站内容比较多,速度就比较慢。
  主界面会显示站点结构,顾名思义,就是网站目录结构了,毕竟扫描器是有“爬虫”的!然后会显示现在正在扫描跨站漏洞还是盲注检测等内容,看看状态:

  需要测试的网站规模毕竟不大,过一阵子就检测完毕,看看结果吧,本WEB应用安全扫描器的报表功能相对而言做的不错的,可以导成各种格式,包括:PDF、HTML、MHT、RTF、XLS、XLSX、CSV、Text、Image,格式够全面吧?呵呵,我们预览下安全评估的报告:

  除了有图形报表显示漏洞分布,还有漏洞详情,包括:
  漏洞类型、漏洞描述、漏洞链接、HTTP方法、参数、漏洞参数、备注(漏洞的测试URL)。
  可以说,作为国内的一款WEB应用安全扫描器,本软件使用简单,功能还是较为强大的,如果您对本软件感兴趣或有购买需求,也可以联系游侠安全网(www.youxia.org)。

作者:张百川(网路游侠)
网站:http://www.youxia.org

   转载请注明来源!谢谢合作。


本文转自网路游侠 51CTO博客,原文链接:http://blog.51cto.com/youxia/339677


相关文章
|
4天前
|
安全 应用服务中间件 网络安全
实战经验分享:利用免费SSL证书构建安全可靠的Web应用
本文分享了利用免费SSL证书构建安全Web应用的实战经验,涵盖选择合适的证书颁发机构、申请与获取证书、配置Web服务器、优化安全性及实际案例。帮助开发者提升应用安全性,增强用户信任。
|
1月前
|
SQL 负载均衡 安全
安全至上:Web应用防火墙技术深度剖析与实战
【10月更文挑战第29天】在数字化时代,Web应用防火墙(WAF)成为保护Web应用免受攻击的关键技术。本文深入解析WAF的工作原理和核心组件,如Envoy和Coraza,并提供实战指南,涵盖动态加载规则、集成威胁情报、高可用性配置等内容,帮助开发者和安全专家构建更安全的Web环境。
63 1
|
1月前
|
安全 前端开发 Java
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第26天】Web安全是现代软件开发的重要领域,本文深入探讨了XSS和CSRF两种常见攻击的原理及防御策略。针对XSS,介绍了输入验证与转义、使用CSP、WAF、HTTP-only Cookie和代码审查等方法。对于CSRF,提出了启用CSRF保护、设置CSRF Token、使用HTTPS、二次验证和用户教育等措施。通过这些策略,开发者可以构建更安全的Web应用。
91 4
|
1月前
|
安全 Go PHP
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第27天】本文深入解析了Web安全中的XSS和CSRF攻击防御策略。针对XSS,介绍了输入验证与净化、内容安全策略(CSP)和HTTP头部安全配置;针对CSRF,提出了使用CSRF令牌、验证HTTP请求头、限制同源策略和双重提交Cookie等方法,帮助开发者有效保护网站和用户数据安全。
73 2
|
1月前
|
存储 安全 Go
Web安全基础:防范XSS与CSRF攻击的方法
【10月更文挑战第25天】Web安全是互联网应用开发中的重要环节。本文通过具体案例分析了跨站脚本攻击(XSS)和跨站请求伪造(CSRF)的原理及防范方法,包括服务器端数据过滤、使用Content Security Policy (CSP)、添加CSRF令牌等措施,帮助开发者构建更安全的Web应用。
94 3
|
1月前
|
SQL 安全 Go
PHP在Web开发中的安全实践与防范措施###
【10月更文挑战第22天】 本文深入探讨了PHP在Web开发中面临的主要安全挑战,包括SQL注入、XSS攻击、CSRF攻击及文件包含漏洞等,并详细阐述了针对这些风险的有效防范策略。通过具体案例分析,揭示了安全编码的重要性,以及如何结合PHP特性与最佳实践来加固Web应用的安全性。全文旨在为开发者提供实用的安全指南,帮助构建更加安全可靠的PHP Web应用。 ###
42 1
|
2月前
|
Kubernetes 安全 应用服务中间件
动态威胁场景下赋能企业安全,F5推出BIG-IP Next Web应用防火墙
动态威胁场景下赋能企业安全,F5推出BIG-IP Next Web应用防火墙
55 3
|
2月前
|
缓存 安全 JavaScript
掌握JAMstack:构建更快、更安全的Web应用
JAMstack 是一种现代 Web 开发架构,结合 JavaScript、APIs 和 Markup,创建更快、更安全的 Web 应用。其核心优势包括高性能、安全性、可扩展性和易维护性。JAMstack 通过预构建静态页面和 API 实现高效渲染,利用静态站点生成器如 Gatsby 和 Next.js,并借助 CDN 和缓存策略提升全球访问速度。尽管面临复杂交互、SEO 和数据更新等挑战,但通过 Serverless Functions、预渲染和实时 API 更新等方案,这些挑战正逐步得到解决。
|
3月前
|
SQL 安全 数据库
惊!Python Web安全黑洞大曝光:SQL注入、XSS、CSRF,你中招了吗?
在数字化时代,Web应用的安全性至关重要。许多Python开发者在追求功能时,常忽视SQL注入、XSS和CSRF等安全威胁。本文将深入剖析这些风险并提供最佳实践:使用参数化查询预防SQL注入;通过HTML转义阻止XSS攻击;在表单中加入CSRF令牌增强安全性。遵循这些方法,可有效提升Web应用的安全防护水平,保护用户数据与隐私。安全需持续关注与改进,每个细节都至关重要。
142 5
|
3月前
|
JSON 安全 JavaScript
Web安全-JQuery框架XSS漏洞浅析
Web安全-JQuery框架XSS漏洞浅析
540 2
下一篇
DataWorks