比较纠结……刚写了很长,不小心按了一下“F5”全丢了……重新写!
我们知道,目前市面上的多数漏洞扫描系统,如我们熟知的X-Scan、流光、Nessus、NMAP等,多数是扫描操作系统、网络设备、系统应用的漏洞的,如:Windows、Linux、Unix、AIX漏洞;Cisco IOS漏洞;FTP、Apache漏洞等,而对网站应用程序自身的漏洞却几乎都无能为力(当然X-Scan和Nessus也能扫描一点注入和跨站漏洞,但很有限),作为网络管理员,就比较头大。有没有好的方式快速评估网站安全性呢?——当然是有!(废话,否则也不会有本文了 嘿嘿)
游侠安全网(www.youxia.org)拿到了某厂商送来测试的Web Application Security Scanner,专门针对WEB应用安全的扫描器,该Scanner可以扫描SQL Injection、XSS/CSS等常见WEB漏洞,并且具备渗透测试功能。下面我们来介绍。
为了演示方便,游侠在VMware安装了IIS,并安置了一个具有漏洞的网站程序,该系统的地址是:192.168.1.44,下面测试主要围绕本地址进行。
首先看下Web Application Security Scanner的界面,还是很简洁的!
“爬虫配置”-“基本配置”如下:
“检测配置”的“监测点”如下:
当然,也可以设置“例外参数”:
“策略配置”是重点,可以扫描的项目都在这里,我们看看:
具体的游侠就不多展开说了,因为这个毕竟比较敏感 呵呵
下面我们开始扫描我们的网站,点“任务向导”,有个单选:单个网站扫描、网站列表扫描,这一点我比较喜欢,直接把要扫描的“多个”网站写入到一个txt文档就可以了,很多WEB应用安全扫描器都是要一个个添加,本扫描器比较方便快捷。
下面就比较简单,输入网址基本就OK了,这里需要等待一下,因为如果网站内容比较多,速度就比较慢。
主界面会显示站点结构,顾名思义,就是网站目录结构了,毕竟扫描器是有“爬虫”的!然后会显示现在正在扫描跨站漏洞还是盲注检测等内容,看看状态:
需要测试的网站规模毕竟不大,过一阵子就检测完毕,看看结果吧,本WEB应用安全扫描器的报表功能相对而言做的不错的,可以导成各种格式,包括:PDF、HTML、MHT、RTF、XLS、XLSX、CSV、Text、Image,格式够全面吧?呵呵,我们预览下安全评估的报告:
除了有图形报表显示漏洞分布,还有漏洞详情,包括:
漏洞类型、漏洞描述、漏洞链接、HTTP方法、参数、漏洞参数、备注(漏洞的测试URL)。
可以说,作为国内的一款WEB应用安全扫描器,本软件使用简单,功能还是较为强大的,如果您对本软件感兴趣或有购买需求,也可以联系游侠安全网(www.youxia.org)。
作者:张百川(网路游侠)
网站:http://www.youxia.org
我们知道,目前市面上的多数漏洞扫描系统,如我们熟知的X-Scan、流光、Nessus、NMAP等,多数是扫描操作系统、网络设备、系统应用的漏洞的,如:Windows、Linux、Unix、AIX漏洞;Cisco IOS漏洞;FTP、Apache漏洞等,而对网站应用程序自身的漏洞却几乎都无能为力(当然X-Scan和Nessus也能扫描一点注入和跨站漏洞,但很有限),作为网络管理员,就比较头大。有没有好的方式快速评估网站安全性呢?——当然是有!(废话,否则也不会有本文了 嘿嘿)
游侠安全网(www.youxia.org)拿到了某厂商送来测试的Web Application Security Scanner,专门针对WEB应用安全的扫描器,该Scanner可以扫描SQL Injection、XSS/CSS等常见WEB漏洞,并且具备渗透测试功能。下面我们来介绍。
为了演示方便,游侠在VMware安装了IIS,并安置了一个具有漏洞的网站程序,该系统的地址是:192.168.1.44,下面测试主要围绕本地址进行。
首先看下Web Application Security Scanner的界面,还是很简洁的!
“爬虫配置”-“基本配置”如下:
“检测配置”的“监测点”如下:
当然,也可以设置“例外参数”:
“策略配置”是重点,可以扫描的项目都在这里,我们看看:
具体的游侠就不多展开说了,因为这个毕竟比较敏感 呵呵
下面我们开始扫描我们的网站,点“任务向导”,有个单选:单个网站扫描、网站列表扫描,这一点我比较喜欢,直接把要扫描的“多个”网站写入到一个txt文档就可以了,很多WEB应用安全扫描器都是要一个个添加,本扫描器比较方便快捷。
下面就比较简单,输入网址基本就OK了,这里需要等待一下,因为如果网站内容比较多,速度就比较慢。
主界面会显示站点结构,顾名思义,就是网站目录结构了,毕竟扫描器是有“爬虫”的!然后会显示现在正在扫描跨站漏洞还是盲注检测等内容,看看状态:
需要测试的网站规模毕竟不大,过一阵子就检测完毕,看看结果吧,本WEB应用安全扫描器的报表功能相对而言做的不错的,可以导成各种格式,包括:PDF、HTML、MHT、RTF、XLS、XLSX、CSV、Text、Image,格式够全面吧?呵呵,我们预览下安全评估的报告:
除了有图形报表显示漏洞分布,还有漏洞详情,包括:
漏洞类型、漏洞描述、漏洞链接、HTTP方法、参数、漏洞参数、备注(漏洞的测试URL)。
可以说,作为国内的一款WEB应用安全扫描器,本软件使用简单,功能还是较为强大的,如果您对本软件感兴趣或有购买需求,也可以联系游侠安全网(www.youxia.org)。
作者:张百川(网路游侠)
网站:http://www.youxia.org
转载请注明来源!谢谢合作。
本文转自网路游侠 51CTO博客,原文链接:http://blog.51cto.com/youxia/339677
