比較糾結……剛寫了很長,不小心按了一下“F5”全丢了……重新寫!
我們知道,目前市面上的多數漏洞掃描系統,如我們熟知的X-Scan、流光、Nessus、NMAP等,多數是掃描作業系統、網絡裝置、系統應用的漏洞的,如:Windows、Linux、Unix、AIX漏洞;Cisco IOS漏洞;FTP、Apache漏洞等,而對網站應用程式自身的漏洞卻幾乎都無能為力(當然X-Scan和Nessus也能掃描一點注入和跨站漏洞,但很有限),作為網絡管理者,就比較頭大。有沒有好的方式快速評估網站安全性呢?——當然是有!(廢話,否則也不會有本文了 嘿嘿)
遊俠安全網(www.youxia.org)拿到了某廠商送來測試的Web Application Security Scanner,專門針對WEB應用安全的掃描器,該Scanner可以掃描SQL Injection、XSS/CSS等常見WEB漏洞,并且具備滲透測試功能。下面我們來介紹。
為了示範友善,遊俠在VMware安裝了IIS,并安置了一個具有漏洞的網站程式,該系統的位址是:192.168.1.44,下面測試主要圍繞本位址進行。
首先看下Web Application Security Scanner的界面,還是很簡潔的!
“爬蟲配置”-“基本配置”如下:
“檢測配置”的“監測點”如下:
當然,也可以設定“例外參數”:
“政策配置”是重點,可以掃描的項目都在這裡,我們看看:
具體的遊俠就不多展開說了,因為這個畢竟比較敏感 呵呵
下面我們開始掃描我們的網站,點“任務向導”,有個單選:單個網站掃描、網站清單掃描,這一點我比較喜歡,直接把要掃描的“多個”網站寫入到一個txt文檔就可以了,很多WEB應用安全掃描器都是要一個個添加,本掃描器比較友善快捷。
下面就比較簡單,輸入網址基本就OK了,這裡需要等待一下,因為如果網站内容比較多,速度就比較慢。
主界面會顯示站點結構,顧名思義,就是網站目錄結構了,畢竟掃描器是有“爬蟲”的!然後會顯示現在正在掃描跨站漏洞還是盲注檢測等内容,看看狀态:
需要測試的網站規模畢竟不大,過一陣子就檢測完畢,看看結果吧,本WEB應用安全掃描器的報表功能相對而言做的不錯的,可以導成各種格式,包括:PDF、HTML、MHT、RTF、XLS、XLSX、CSV、Text、Image,格式夠全面吧?呵呵,我們預覽下安全評估的報告:
除了有圖形報表顯示漏洞分布,還有漏洞詳情,包括:
漏洞類型、漏洞描述、漏洞連結、HTTP方法、參數、漏洞參數、備注(漏洞的測試URL)。
可以說,作為國内的一款WEB應用安全掃描器,本軟體使用簡單,功能還是較為強大的,如果您對本軟體感興趣或有購買需求,也可以聯系遊俠安全網(www.youxia.org)。
作者:張百川(網路遊俠)
網站:http://www.youxia.org
轉載請注明來源!謝謝合作。
本文轉自網路遊俠 51CTO部落格,原文連結:http://blog.51cto.com/youxia/339677