赛门铁克的一份有趣报告 显示,十分之一的网站包含一个或多个恶意代码。如果你使用WordPress,那么根据SUCURI 的另一份报告,49% 的爬行网站被发现已过时。
Web 应用程序所有者如何确保其网站免受在线威胁?是否存在机密信息泄露?如果您使用基于云的安全解决方案,那么定期漏洞扫描 可能是计划的一部分。如果没有,那么就需要定期进行扫描,并采取必要的措施来降低风险。有两种类型的扫描仪。
商业 - 提供自动扫描的能力,以确保持续的安全性,生成报告、警报、详细的故障排除说明等。业内知名企业包括:
阿库内蒂克斯
检测
夸利斯
开源/免费 - 下载并运行按需安全扫描。然而,并非所有这些都能够像商业漏洞一样覆盖广泛的漏洞。请考虑以下开源 Web 漏洞扫描程序。
最佳开源 Web 漏洞扫描程序
蜘蛛
Arachni 是一款基于 Ruby 框架构建的高性能安全扫描器,适用于现代 Web 应用程序。它可以作为适用于Mac、Windows和Linux的便携式二进制文件提供。
Arachni 不仅可以检查静态或 CMS 站点,还可以跟踪平台指纹。它对 Windows 和其他平台执行主动和被动扫描。
一些已发现的漏洞:
NoSQL/Blind/SQL/Code/LDAP/Command/XPath 注入
跨站请求伪造
旁路路径
本地/远程文件包含
答案分裂
跨站脚本
无效的 DOM 重定向
源代码公开
您可以获得HTML、XML、Text、JSON、YAML 等格式的审核报告。 Arachni 允许您通过使用插件将扫描功能扩展至新的水平。查看 Arachni 的完整功能并下载试用。
XssPy
一个基于 Python 的XSS (跨站脚本)漏洞扫描器,被许多组织使用,包括Microsoft、Stanford、Motorola、Informatica 等。 Faizan Ahmad 的 XssPy 是一个智能工具。它在一件事上做得非常好。它不只检查主页或给定页面,而是检查站点上的所有链接。 XssPy 还会检查子域,因此不会出现任何无人看管的情况。