网站漏洞检测攻略：揭秘高效Web安全测试工具的使用技巧

如何鉴别一个网站是否存在安全隐患 进行网站漏洞扫描需借助专业的检测工具，以下将介绍几款常用工具： 1. Nikto 这是一款开源的Web服务器检测软件，能对Web服务器的众多项目进行详尽的测试。其检测项目和插件不断更新，并能实现自动更新。Nikto能在极短的时间内检测你的Web服务器，这在日志文件中表现得尤为明显。尽管并非每次检测都能发现安全问题，但大多数情况下还是能够做到的。有些项目仅提供信息性检查，这类检查可能无法发现实际存在的安全漏洞，而Web管理员或安全工程师可能并不了解这些。 2. Paros proxy 这是一款用于评估Web应用程序漏洞的代理程序，即一款基于Java的web代理程序，可评估Web应用程序的漏洞。它支持动态编辑/查看HTTP/HTTPS，从而改变cookies和表单字段等项目。它包括一个Web通信记录程序，Web圈套程序，hash计算器，以及一个可测试常见Web应用程序攻击的扫描器。 3. WebScarab: 它可以分析使用HTTP和HTTPS协议进行通信的应用程序，WebScarab可以用最简单的形式记录它观察的会话，并允许操作人员以各种方式观察会话。如果你需要观察一个基于HTTP(S)应用程序的运行状态，那么WebScarab就可以满足你的需求。无论是帮助开发人员调试其他方面的难题，还是允许安全专业人员识别漏洞，它都是一款不错的工具。 4. WebInspect： 这是一款功能强大的Web应用程序扫描程序。SPI Dynamics的这款应用程序安全评估工具有助于确认Web应用中已知的和未知的漏洞。它还可以检查一个Web服务器是否正确配置，并尝试一些常见的Web攻击，如参数注入、跨站脚本、目录遍历攻击等等。 5. Whisker/libwhisker: Libwhisker是一个Perla模块，适用于HTTP测试。它可以针对许多已知的安全漏洞，测试HTTP服务器，特别是检测危险CGI的存在。Whisker是一款使用libwhisker的扫描程序。 6. Burpsuite： 这是一个可用于攻击Web应用程序的集成平台。Burp套件允许攻击者将人工和自动技术结合起来，以列举、分析、攻击Web应用程序，或利用这些程序的漏洞。各种Burp工具协同工作，共享信息，并允许将一种工具发现的漏洞作为另一种工具的基础。 7. Wikto: 可以说这是一个Web服务器评估工具，它可以检查Web服务器中的漏洞，并提供与Nikto类似的多项功能，但增加了许多有趣的功能部分，如后端miner和紧密的Google集成。它为MS.NET环境编写，但用户需要注册才能下载其二进制文件和源代码。 8. Acunetix Web Vulnerability Scanner: 这是一款商业级的Web漏洞扫描程序，它可以检查Web应用程序中的漏洞，如SQL注入、跨站脚本攻击、身份验证页上的弱口令长度等。它拥有一个操作便捷的图形用户界面，并且能够创建专业级的Web站点安全审核报告。 9. Watchfire AppScan： 这也是一款商业级的Web漏洞扫描程序。AppScan在应用程序的整个开发周期都提供安全测试，从而简化了部件测试和开发早期的安全保证。它可以扫描许多常见的漏洞，如跨站脚本攻击、HTTP响应拆分漏洞、参数篡改、隐式字段处理、后门/调试选项、缓冲区溢出等等。 10. N-Stealth： N-Stealth是一款商业级的Web服务器安全扫描程序。它比一些免费的Web扫描程序，如Whisker/libwhisker、Nikto等的更新频率更高。值得注意的是，实际上所有通用的VA工具，如Nessus、ISS Internet Scanner、Retina、SAINT、Sara等都包含Web扫描部件。N-Stealth主要为Windows平台提供扫描，但并不提供源代码。 如何检测自己网站存在哪些漏洞，以便提升网站安全性 网站运营一段时间后，总会听到一些网站被挂马、被黑的消息。似乎入侵挂马是一件很简单的事情。其实，入侵并不简单，简单的是你的网站的安全措施并未做好。 有条件的话，建议请专业做网站安全的sine安全来做安全维护。 一：挂马预防措施： 1、建议用户通过ftp上传、维护网页，尽量不安装asp的上传程序。 2、对asp上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。这其中包括各种新闻发布、商城及论坛程序，只要可以上传文件的asp都要进行身份认证！ 3、asp程序管理员的用户名和密码要有一定复杂性，不能过于简单，还要注意定期更换。 4、到正规网站下载asp程序，下载后要对其数据库名称和存放路径进行修改，数据库文件名称也要有一定复杂性。 5、要尽量保持程序是最新版本。 6、不要在网页上添加后台管理程序登录页面的链接。 7、为防止程序有未知漏洞，可以在维护后删除后台管理程序的登录页面，下次维护时再通过ftp上传即可。 8、要时常备份数据库等重要文件。 9、日常要多维护，并注意空间中是否有来历不明的asp文件。记住：一分汗水，一分安全！ 10、一旦发现被入侵，除非自己能识别出所有木马文件，否则要删除所有文件。 11、定期对网站进行安全检测，具体可以利用网上一些工具，如sinesafe网站挂马检测工具！ 二：挂马恢复措施： 1.修改帐号密码 不管是商业或非商业网站，初始密码多半都是admin。因此你接到网站程序第一件事就是“修改帐号密码”。帐号密码不要使用以前习惯的，换点特别的。尽量将字母数字及符号混合使用。此外密码最好超过15位。如果使用

密码切勿沿用过往习用的，改用一些独特的。务必结合字母、数字与符号。另外，密码长度宜超过15位。若采用SQL，宜选用更为特殊的账户密码，避免使用诸如“admin”等常见名称，以免轻易遭受攻击。 2. 建立robots.txt文件 robots.txt能有效地抵御通过搜索引擎窃取信息的黑客。 3. 修改后台文件 第一步：更改后台验证文件的名称。 第二步：修改conn.asp，以防止非法下载，并可在加密数据库后修改conn.asp。 第三步：更改ACESS数据库名称，越复杂越好，若可能，更换数据所在目录。 4. 限制后台登录IP 此方法最为有效，每位虚拟主机用户都应具备此功能。若您的IP不固定，则需每次更改，安全至上。 5. 自定义404页面及自定义传输ASP错误信息 404错误可能导致黑客批量搜索您的后台重要文件，并检查网页是否存在注入漏洞。 ASP错误信息可能向不明身份者泄露对方所需信息。 6. 谨慎选择网站程序 留意网站程序是否本身存在漏洞，心中应有明辨是非的尺度。 7. 谨慎处理上传漏洞 据悉，上传漏洞往往既简单又严重，可能让黑客或骇客轻易控制您的网站。可禁止或限制上传文件类型，如不熟悉，可咨询网站程序提供商。 8. 保护cookie 登录时尽量避免访问其他站点，以防cookie泄露。切记，退出时务必点击退出并关闭所有浏览器。 9. 设置目录权限 管理员应设置重要目录的权限，防止非正常访问。例如，不要给予上传目录执行脚本权限，也不要给予非上传目录写入权限。 10. 自我检测 目前网上黑客工具众多，不妨找一些来检测您的网站是否安全。 11. 定期维护 a. 定期备份数据。最佳做法是每日备份一次，下载备份文件后应及时删除主机上的备份。 b. 定期更改数据库名称和管理员账户密码。 c. 通过WEB或FTP管理，检查所有目录的体积、最后修改时间以及文件数量，检查文件是否有异常，并查看是否存在异常账号。 网站被植入恶意软件通常是因为网站程序存在漏洞或服务器安全性能不足，导致不法黑客入侵攻击。 网站被植入恶意软件是普遍现象，但也是每位网站运营者的心头大患。您是否因网站和服务器频繁遭受入侵和恶意软件攻击而想过放弃？您是否因为对网站技术的不了解而耽误了运营？您是否因为精心运营的网站反复遭受无聊黑客的入侵和恶意软件攻击而感到困惑和无助？如有条件，建议寻求专业从事网站安全维护的sin安全公司进行安全维护。