随着网站越来越多元化,内容或资讯都会不定期更新,而每个新增的页面或连结,都有可能带来新的漏洞,因此,网站的安全性
检测不论在上线前或是每次更新时,都是务必检查的工作。
但是手动的网站检测,对使用者而言是很大的负担,尤其以目前网站动辄数百至数千页,以人工方式对每一页进行澈底的安全检
测近乎不可能,此时,方便而自动化的检测工具就很重要了。以下介绍几套好用、便利及自动化检测的免费工具,使用者可以自
行上网下载使用,对网站安全进行基本的检查,降低网站被入侵的风险。
二、工具介绍iiscan(亿思)
亿思网站安全检测平台能够提供在线的安全检测服务,让用户可以在线扫描网站的安全隐患,是目前扫描速度最为理想的国内的
扫描工具。针对与网站的SQL注入,跨站攻击,网页篡改等存在漏洞进行扫描。目前亿思已经将网站扫描功能免费化了。而且操
作简单,比较适合一般站长使用。由于亿思只提供web版,故大家只能上它官网扫描,地址见签名。。。不过这样也有个好处,
就是把任务提交就可以,不必占着内存等扫描。。Grendel-Scan
Grendel-Scan工具是一套自动化图形介面的网站安全性检测工具,可运行在Windows及Macintosh作业系统上,
并提供Source Code下载。 Grendel-Scan可以检测相当完整的弱点,包含档案列举(File Enumeration)、
资讯泄漏(Information Leakage)、连线管理(Session Management)、XSS、恶意攻击(Miscellaneous Attacks)、
应用程式架构(Application Architecture)、网站设定(Web Server Configuration)及SQL Injection等弱点分项,
使用者可对每一分项再就需要检测的项目进行细部调整。此外Grendel-Scan亦具备网站爬寻功能,
因此在检测时只需提供起始页面,即可取得网站树状结构并对每一页面自动检测。
Grendel-Scan也具备了许多其他好用的功能,例如:选择是否使用代理伺服器进行检测、
选择不同的报告输出格式、设定检测速度、预先设定须登入页面之帐号密码,及设定检测时URL之黑名单与白名单等,
这些都是在从事网页检测时非常方便的功能。Nikto
Nikto工具是一款能对网站伺服器执行多种安全测试的自动化扫描软体,与其他工具不同的是,Nikto为文字介面之检测工具,
在操作上或许没有其他工具那么直觉,但也不算困难,可在命令提示字元下输入nikto.pl –Help,即可显示详细的操作说明。 Nitko可对伺服器进行全面扫描,包含超过3,500种具有潜在危险的文件或CGI档案、超过900种伺服器版本问题及逾250种特定伺服器问题。此外,Nikto的扫描项目和外挂程式仍在持续更新,只须在命令提示字元下输入nikto.pl –update,即可至Nikto官网下载最新套件进行更新。 Nikto具有另一项特色为扫描速度快,可在最短时间内对网站伺服器相关的不安全设定、错误的配置及久未更新之过时软体进行侦测,是网站检测时一个很方便的利器。Burp Suite
Burp Suite 也是一套JAVA语言撰写成的网页代理伺服器型检测工具,使用的方法和Paros类似,但在功能上Burp Suite
却有其独特处。使用者将代理伺服器指向Burp Suite,使用爬寻功能取得网站树状结构之后,
即可将找到的页面送至Burp Suite中其他如扫描(Scanner)、入侵(Intruder)或重复注册检测(Repeater)等功能,
其中扫描可检测XSS、SQL Injection等弱点,而重复注册检测则能测试网站是否可防范大量注册或灌票等弱点。
此外,入侵功能可说是Burp Suite最强大的功能之一,可以对特定页面传送大量不同的参数,并观察特定回传栏位的变化,
对于暴力破解密码或Blind SQL Injection的检测都非常好用。唯一美中不足的地方是,免费版的Burp Suite不支援或
只有部分支援某些功能(如免费版的入侵功能测试速度较慢),但其基本功能足以完成很多的网站弱点测试,因此在从事网站检
测时,仍是一套非常好用的工具。
本帖最后由 j8i4a2n6 于 前天08:30 编辑
Burp Suite
- Burp Proxy - an intercepting HTTP/S proxy server which operates as a man-in-the-middle between the end browser and the target web application, allowing you to intercept, inspect and modify the raw traffic passing in both directions.
- Burp Spider - an intelligent application-aware web spider which allows complete enumeration of an application's content and functionality.
- Burp Intruder - a highly configurable tool for automating customised attacks against web applications, such as enumerating identifiers, harvesting useful data, and fuzzing for common vulnerabilities.
- Burp Repeater - a tool for manually manipulating and re-issuing individual HTTP requests, and analysing the application's responses.
- Burp Sequencer - a tool for analysing the quality of randomness in an application's session tokens or other important data items which are intended to be unpredictable.
- Burp Decoder - a tool for performing manual or intelligent decoding and encoding of application data.
- Burp Comparer - a utility for performing a visual "diff" between any two items of data, normally pairs of related requests and responses.
基本上上面這些是Burp Suite包含的工具
如果想使用有GUI的工具進行封包編輯和網頁嗅探就用這套吧
官方網頁 http://portswigger.net/
Burp Suite網頁 http://portswigger.net/suite/
Burp Suite下載點 burpsuite_v1.1.zip
Burp Suite是一个免费的网站攻击工具。它包括proxy、spider、intruder、repeater四项功能。该程序使用Java写成,需要 JRE 1.4 以上版本。可以在 http://portswigger.net/suite/ 下载,目前最新版本为 1.0.1。
解压之后执行 suite.bat,片刻之后即可启动。
proxy
在本地架设代理服务器以截获并修改浏览器发出的请求。默认设置为 127.0.0.1:8080。使用时只要将浏览器的代理服务器设置为 127.0.0.1:8080,burp proxy就会截获到浏览器发出的请求,并可方便地进行修改之后再向原网站发出,以达到篡改cookie、URL、form等目的。
将浏览器的代理服务器设置为 localhost:8080,然后访问任意一个网站。burp proxy即可截获到该请求。你可以方便地编辑该请求的内容,然后按Forward按钮将编辑之后的请求发到原网站;或者按Drop按钮丢弃该请求。
spider
intruder
repeater
burp repeater可以将同样的请求多次发送。你可以不断地修改请求的各种参数并发送,以寻找最好的攻击方法。