web扫描

随着网站越来越多元化,内容或资讯都会不定期更新,而每个新增的页面或连结,都有可能带来新的漏洞,因此,网站的安全性
检测不论在上线前或是每次更新时,都是务必检查的工作。
但是手动的网站检测,对使用者而言是很大的负担,尤其以目前网站动辄数百至数千页,以人工方式对每一页进行澈底的安全检
测近乎不可能,此时,方便而自动化的检测工具就很重要了。以下介绍几套好用、便利及自动化检测的免费工具,使用者可以自
行上网下载使用,对网站安全进行基本的检查,降低网站被入侵的风险。
二、工具介绍iiscan(亿思)
亿思网站安全检测平台能够提供在线的安全检测服务,让用户可以在线扫描网站的安全隐患,是目前扫描速度最为理想的国内的
扫描工具。针对与网站的SQL注入,跨站攻击,网页篡改等存在漏洞进行扫描。目前亿思已经将网站扫描功能免费化了。而且操
作简单,比较适合一般站长使用。由于亿思只提供web版,故大家只能上它官网扫描,地址见签名。。。不过这样也有个好处,
就是把任务提交就可以,不必占着内存等扫描。。Grendel-Scan
Grendel-Scan工具是一套自动化图形介面的网站安全性检测工具,可运行在Windows及Macintosh作业系统上,
并提供Source Code下载。 Grendel-Scan可以检测相当完整的弱点,包含档案列举(File Enumeration)、
资讯泄漏(Information Leakage)、连线管理(Session Management)、XSS、恶意攻击(Miscellaneous Attacks)、
应用程式架构(Application Architecture)、网站设定(Web Server Configuration)及SQL Injection等弱点分项,
使用者可对每一分项再就需要检测的项目进行细部调整。此外Grendel-Scan亦具备网站爬寻功能,
因此在检测时只需提供起始页面,即可取得网站树状结构并对每一页面自动检测。 
Grendel-Scan也具备了许多其他好用的功能,例如:选择是否使用代理伺服器进行检测、
选择不同的报告输出格式、设定检测速度、预先设定须登入页面之帐号密码,及设定检测时URL之黑名单与白名单等,
这些都是在从事网页检测时非常方便的功能。Nikto
Nikto工具是一款能对网站伺服器执行多种安全测试的自动化扫描软体,与其他工具不同的是,Nikto为文字介面之检测工具,
在操作上或许没有其他工具那么直觉,但也不算困难,可在命令提示字元下输入nikto.pl –Help,即可显示详细的操作说明。 Nitko可对伺服器进行全面扫描,包含超过3,500种具有潜在危险的文件或CGI档案、超过900种伺服器版本问题及逾250种特定伺服器问题。此外,Nikto的扫描项目和外挂程式仍在持续更新,只须在命令提示字元下输入nikto.pl –update,即可至Nikto官网下载最新套件进行更新。 Nikto具有另一项特色为扫描速度快,可在最短时间内对网站伺服器相关的不安全设定、错误的配置及久未更新之过时软体进行侦测,是网站检测时一个很方便的利器。Burp Suite
Burp Suite 也是一套JAVA语言撰写成的网页代理伺服器型检测工具,使用的方法和Paros类似,但在功能上Burp Suite
却有其独特处。使用者将代理伺服器指向Burp Suite,使用爬寻功能取得网站树状结构之后,
即可将找到的页面送至Burp Suite中其他如扫描(Scanner)、入侵(Intruder)或重复注册检测(Repeater)等功能,
其中扫描可检测XSS、SQL Injection等弱点,而重复注册检测则能测试网站是否可防范大量注册或灌票等弱点。
此外,入侵功能可说是Burp Suite最强大的功能之一,可以对特定页面传送大量不同的参数,并观察特定回传栏位的变化,
对于暴力破解密码或Blind SQL Injection的检测都非常好用。唯一美中不足的地方是,免费版的Burp Suite不支援或
只有部分支援某些功能(如免费版的入侵功能测试速度较慢),但其基本功能足以完成很多的网站弱点测试,因此在从事网站检
测时,仍是一套非常好用的工具。
本帖最后由 j8i4a2n6 于 前天08:30 编辑
Burp Suite

  • Burp Proxy - an intercepting HTTP/S proxy server which operates as a man-in-the-middle between the end browser and the target web application, allowing you to intercept, inspect and modify the raw traffic passing in both directions.
  • Burp Spider - an intelligent application-aware web spider which allows complete enumeration of an application's content and functionality.
  • Burp Intruder - a highly configurable tool for automating customised attacks against web applications, such as enumerating identifiers, harvesting useful data, and fuzzing for common vulnerabilities.
  • Burp Repeater - a tool for manually manipulating and re-issuing individual HTTP requests, and analysing the application's responses.
  • Burp Sequencer - a tool for analysing the quality of randomness in an application's session tokens or other important data items which are intended to be unpredictable.
  • Burp Decoder - a tool for performing manual or intelligent decoding and encoding of application data.
  • Burp Comparer - a utility for performing a visual "diff" between any two items of data, normally pairs of related requests and responses.

基本上上面這些是Burp Suite包含的工具

如果想使用有GUI的工具進行封包編輯和網頁嗅探就用這套吧

官方網頁 http://portswigger.net/

Burp Suite網頁 http://portswigger.net/suite/

Burp Suite下載點 burpsuite_v1.1.zip

Burp Suite是一个免费的网站攻击工具。它包括proxy、spider、intruder、repeater四项功能。该程序使用Java写成,需要 JRE 1.4 以上版本。可以在 http://portswigger.net/suite/ 下载,目前最新版本为 1.0.1。

解压之后执行 suite.bat,片刻之后即可启动。

proxy spider intruder repeater

proxy

在本地架设代理服务器以截获并修改浏览器发出的请求。默认设置为 127.0.0.1:8080。使用时只要将浏览器的代理服务器设置为 127.0.0.1:8080,burp proxy就会截获到浏览器发出的请求,并可方便地进行修改之后再向原网站发出,以达到篡改cookie、URL、form等目的。

burp_suite_proxy_01.png

将浏览器的代理服务器设置为 localhost:8080,然后访问任意一个网站。burp proxy即可截获到该请求。你可以方便地编辑该请求的内容,然后按Forward按钮将编辑之后的请求发到原网站;或者按Drop按钮丢弃该请求。

spider

burp_suite_spider_01.png

intruder

burp_suite_intruder_01.png

repeater

burp repeater可以将同样的请求多次发送。你可以不断地修改请求的各种参数并发送,以寻找最好的攻击方法。

burp_suite_repeater_01.png

转载于:https://www.cnblogs.com/tangge/archive/2011/02/18/1957905.html

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/435215.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

2.2基本算法之递归和自调用函数_数据结构与算法之5——队列和栈

栈和队列比较简单,而且实用性非常广泛,这里主要介绍一下他们的概念和实现,在很多算法中,栈和队列的运用很重要,因此,虽然简单确是最重要的数据结构之一,必须重视。栈是保证元素后进先出(后存入者…

神经网络与深度学习——TensorFlow2.0实战(笔记)(五)(NumPy科学计算库<2>python)

数组元素的切片 一维数组 #一维数组 #切片方法和Python序列数据结构的切片一样 anp.array([0,1,2,3,4],dtypenp.int64)#占用新的内存 #不包括结束位置 print(a[0:3]) print(a[:3]) print(a[0:]) 二维数组 #二维数组 anp.array([[0,1,2,3,4],[5,6,7,8,9],[10,11,12,13,14]],d…

c语言二进制数怎么表示_搞懂这些公式和原理,二级C语言对你来说肯定会简单很多!...

基本概念:机器数:在计算机中,一个数有二进制表示的数原码:第一位是符号位,其他位表示数值:0:正数,1:负数反码:正数-->原码,负数-->符号位不…

详细js读取execl内容并展示

作者execl内容展示 <!DOCTYPE html> <html lang"en"> <head><meta charset"UTF-8"><meta name"viewport" content"widthdevice-width, initial-scale1.0"> <!-- <script type"text/java…

python棋盘最短路径_Python数据结构与算法之图的最短路径(Dijkstra算法)完整实例...

本文实例讲述了Python数据结构与算法之图的最短路径(Dijkstra算法)。分享给大家供大家参考&#xff0c;具体如下&#xff1a; # coding:utf-8 # Dijkstra算法——通过边实现松弛 # 指定一个点到其他各顶点的路径——单源最短路径 # 初始化图参数 G {1:{1:0, 2:1, 3:12}, 2:{2:…

js将百度坐标转为wgs84

作者execl示例 读取并转换结果如下 <!DOCTYPE html> <html lang="en"> <head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"> <!-- <scrip…

Jetty 服务器架构分析(中)

接上一篇&#xff0c;说到XmlConfiguration ,XmlConfiguration 利用自己实现的 IOC 组装 Server 的全过程如下图所示&#xff1a; 这里可以看到 3 个关键的配置文件&#xff0c; jetty.xml 、 jetty-deploy.xml 、以及 contexts/xxx.xml l Jetty.xml 文件中定义了…

VxWorks嵌入式操作系统的TrueFFS文件系统驱动开发

嵌入式系统对执行速度和系统可靠性的要求&#xff0c;决定了嵌入式系统需要一种安全、快速的存储设备&#xff0c;这种设备备同时还需要体积小、容量大、掉电数据不丢失等特点。而Flash存储器恰恰能够满足上述要求。这也使得Flash存储器成为嵌入式系统中的主要存储设备。 现…

神经网络与深度学习——TensorFlow2.0实战(笔记)(五)(NumPy科学计算库<矩阵和随机数>python)

矩阵和随机数 矩阵 创建矩阵 #创建矩阵 astring np.mat("1 2 3; 4 5 6") alist [[1,2,3],[4,5,6]] anplist np.array(alist) print(np.matrix(astring))#字符串、列表、元组、数组 print(np.mat(astring))#字符串、列表、元组、数组 print(np.mat(alist)) prin…

神经网络与深度学习——TensorFlow2.0实战(笔记)(五)(Matplotlib绘图基础<1>python)

数据可视化 数据分析阶段&#xff1a;理解和洞察数据之间的关系 算法调试阶段&#xff1a;发现问题&#xff0c;优化算法 项目总结阶段&#xff1a;展示项目成果 Matplotlib&#xff1a; 第三方库&#xff0c;可以快速方便地生成高质量的图表 安装Matplotlib库 Figure 对…

idea lombok不生效_Spring Boot 集成 Lombok 让代码更简洁!

点击上方“Java之间”&#xff0c;选择“置顶或者星标”你关注的就是我关心的&#xff01;作者&#xff1a;Anoyi lombok的威力简化代码IntelliJ IDEA安装lombok插件1、菜单栏 File > Settings > Plugins > Browse repositories…安装插件2、搜索 Lombok Plugin 安装后…

arcgis按属性设置符号大小

一般都在高级设置里&#xff0c;以下是两个示例 1.相同颜色&#xff0c;不同大小 2不同颜色&#xff0c;不同大小

druiddatasource配置_Spring核心配置文件详解

点击蓝字“程序员考拉”欢迎关注&#xff01;1&#xff1a;spring的核心配置文件中的各种配置。 spring的核心配置文件的名字 叫做 applicationContext.xml&#xff0c;后期也可以通过配置文件中的配置修改名称&#xff0c;在web.xml中进行如下配置&#xff1a;<contex…

origin(1)

origin窗口结构与布局 工作表 0.数据导入 0.1直接拖拽 0.2导入 配置相关参数 1.添加新列 1.1方法一 1.2方法二 2.设置x&#xff0c;y&#xff0c;z 2.1设置单列 2.2设置多列 2.3设置无关列 2.4设置误差线 2.5设置为标签 3.长短名称设置 3.1长名称设置 3.1.1方法一 3.1.2方…

神经网络与深度学习——TensorFlow2.0实战(笔记)(五)(Matplotlib绘图基础<散点图>python)

散点图&#xff08;Scatter&#xff09;&#xff1a; 是数据点在直角坐标系中的分布图 scatter() 函数 marker参数——数据点样式 添加文字——text() 函数 坐标轴设置 增加图例 绘制标准正态分布的散点图步骤 #散点图&#xff08;Scatter&#xff09;&#xff1a;是数据点在直…

十字路口红绿灯plc程序_实例讲解红绿灯PLC程序设计方法

十字路口的交通指挥信号灯布置如下图&#xff1a;一、控制要求&#xff08;1&#xff09;信号灯系统由一个启动开关控制&#xff0c;当启动开关接通时&#xff0c;该信号灯系 统开始工作&#xff0c;当启动开关关断时&#xff0c;所有信号灯都熄灭。&#xff08;2&#xff09;南…

listview刷新_Flutter NestedScrollView 滑动折叠头部下拉刷新效果

题记—— 执剑天涯&#xff0c;从你的点滴积累开始&#xff0c;所及之处&#xff0c;必精益求精。Flutter是谷歌推出的最新的移动开发框架。本实例运行效果如下 &#xff1a;//启动函数void main() { runApp(RootApp());}//根目录class RootApp extends StatelessWidget { ov…

神经网络与深度学习——TensorFlow2.0实战(笔记)(六)(Matplotlib绘图基础<折线图和柱状图>python)

折线图&#xff08;Line Chart&#xff09;&#xff1a; 散点图的基础上&#xff0c;将相邻的点用线段相连接 plot()函数 #折线图&#xff1a;在散点图的基础上将相邻两个点链接 #描述变量变化的趋势 #plot(x,y,color,marker,label,linewidth,markersize) #x数据点的x坐标 #y…

WinCE6.0的EBOOT概要

为一个新的硬件设备定制WinCE6.0操作系统&#xff0c;一般需要完成以下几个主要步骤&#xff1a; 1. 针对特定的硬件设备创建板级支持包(Board Support Package缩写为BSP)&#xff0c;BSP必须包括BOOTLOADER、OEM适配层(OEM Adaptation Layer缩写为OAL)和一些必要的驱动。…

Silverlight HTML5 Flash - RIA技术之三足鼎立

未来&#xff0c;“用户体验”将成为所有软件商业价值的首要衡量标准。拥有极好用户体验的RIA(富互联网应用)技术近些年来发展迅猛&#xff0c;其中以Silverlight、HTML5及Flash最受热捧。纵观&#xff0c;互联网上98%的计算机都有安装Flash&#xff1b;HTML5的新特性则强化了W…