punkspider是一款由punkscan出品的大型web漏洞掃描器,我們利用它已經建立了一個穩定的掃描體系,每日可以實作無人值守式的運作。此外,其中運作了一個apache hadoop叢集,每天能處理的掃描任務數以萬計。
punkspider的特性
該掃描服務會在網上随機爬行,尋找可能存在漏洞的web應用,發起一些諸如sql盲注、傳統sql注入,以及xss等攻擊。遊客可以通過punkspider搜尋一個url或者一個關鍵詞,得到相關網站的結果。同時,它采用了如apache hadoop等大資料級别的高端技術,但幸運的是這些都是開源的。
punkspider項目的設計思想是,站長可以通過搜尋自己的網站來驗證其是否做好了基本的安全措施,這個結果可能會激勵使用者優化自身的安全措施。當然,如果是那些不懷好意的人使用了punkspider,可能會讓無辜的網站受到的威脅更大。這時候,站長可以選擇通過修改robots.txt,或者優化防火牆和路由的ip規則,退出該掃描器的監控。
punkspider的優勢
市面上的工具有不少都能夠執行有限數量的掃描,但卻不是很穩定,甚至會陷入崩潰和無限循環。而punkspider建立了一個非常穩定且可擴充的掃描架構體系,每天能夠無人值守地自動運作,幾乎能夠将掃描任務無限地運作下去。
punkspider還有不少潛在特質,其中一個就是幫助需要安全檢測的組織梳理自身的公開資産。畢竟,并不是每個組織都能讓安全團隊給自己定期進行正常檢測的。使用了punkspider之後,組織隻需要在搜尋框簡單地輸入url,就能知道自己是否有重要的漏洞需要修複。
此外,我們認為公衆也應該去了解使用它。畢竟黑客可以通路的資訊,公衆自己更應該了解。同時,公衆通過它還可以知道,是否自己信用卡資訊和其他敏感資料已經處于不安全的境地。
這裡給出punkspider項目的下載下傳位址,猛戳這裡。
![Apache靜态檔案通路配置(書封伺服器)[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)