网站安全检测工具

网站安全检测工具 --------------------------可以编辑的精品文档，你值得拥有，下载后想怎么改就怎么改--------------------------- ========================================================== 随着网站越来越多元化，内容或资讯都会不定期更新，而每个新增的页面或连结，都有可能带来新的漏洞，因此，网站的安全性检测不论在上线前或是每次更新时，都是务必检查的工作。 但是手动的网站检测，对使用者而言是很大的负担，尤其以目前网站动辄数百至数千页，以人工方式对每一页进行澈底的安全检测近乎不可能，此时，方便而自动化的检测工具就很重要了。 以下介绍几套好用、便利及自动化检测的免费工具，使用者可以自行上网下载使用，对网站安全进行基本的检查，降低网站被入侵的风险。 二、工具介绍 iiscan(亿思) 亿思网站安全检测平台能够提供在线的安全检测服务，让用户可以在线扫描网站的安全隐患，是目前扫描速度最为理想的国内的扫描工具。针对与网站的SQL注入，跨站攻击，网页篡改等存在漏洞进行扫描。目前亿思已经将网站扫描功能免费化了。而且操作简单，比较适合一般站长使用。由于亿思只提供web版，故大家只能上它官网扫描。不过这样也有个好处，就是把任务提交就可以，不必占着内存等扫描。。 Grendel-Scan Grendel-Scan工具是一套自动化图形介面的网站安全性检测工具，可运行在Windows及Macintosh作业系统上，并提供Source Code下载。 Grendel-Scan可以检测相当完整的弱点，包含档案列举(File Enumeration)、资讯泄漏(Information Leakage)、连线管理(Session Management)、XSS、恶意攻击(Miscellaneous Attacks)、应用程式架构(Application Architecture)、网站设定(Web Server Configuration)及SQL Injection等弱点分项，使用者可对每一分项再就需要检测的项目进行细部调整。此外Grendel-Scan亦具备网站爬寻功能，因此在检测时只需提供起始页面，即可取得网站树状结构并对每一页面自动检测。 Grendel-Scan也具备了许多其他好用的功能，例如:选择是否使用代理伺服器进行检测、选择不同的输出格式、设定检测速度、预先设定须登入页面之帐号密码，及设定检测时URL之黑名单与白名单等，这些都是在从事网页检测时非常方便的功能。 Nikto Nikto工具是一款能对网站伺服器执行多种安全测试的自动化扫描软体，与其他工具不同的是，Nikto为文字介面之检测工具，在操作上或许没有其他工具那么直觉，但也不算困难，可在命令提示字元下输入nikto.pl –Help，即可显示详细的操作说明。 Nitko可对伺服器进行全面扫描，包含超过3,500种具有潜在危险的文件或CGI档案、超过900种伺服器版本问及逾250种特定伺服器问题。此外，Nikto的扫描项目和外挂程式仍在持续更新，只须在命令提示字元下输入nikto.pl –update，即可至Nikto官网下载最新套件进行更新。 Nikto具有另一项特色为扫描速度快，可在最短时间内对网站伺服器相关的不安全设定、错误的配置及久未更新之过时软体进行侦测，是网站检测时一个很方便的利器。 Burp Suite Burp Suite 也是一套JAVA语言撰写成的网页代理伺服器型检测工具，使用的方法和Paros类似，但在功能上Burp Suite却有其独特处。使用者将代理伺服器指向Burp Suite，使用爬寻功能取得网站树状结构之后，即可将找到的页面送至Burp Suite中其他如扫描(Scanner)、入侵(Intruder)或重复注册检测(Repeater)等功能，其中扫描可检测XSS、SQL Injection等弱点，而重复注册检测则能测试网站是否可防范大量注册或灌票等弱点。此外，入侵功能可说是Burp Suite最强大的功能之一，可以对特定页面传送大量不同的参数，并观察特定回传栏位的变化，对于暴力破解密码或Blind SQL Injection的检测都非常好用。唯一美中 --------------------------可以编辑的精品文档，你值得拥有，下载后想怎么改就怎么改--------------------------- ========================================================================== --------------------------可以编辑的精品文档，你值得拥有，下载后想怎么改就怎么改--------------------------- ========================================================== 不足的地方是，免费版的Burp Suite不支援或只有部分支援某些功能(如免费版的入侵功能测试速度较慢)， 但其基本功能足以完成很多的网站弱点测试，因此在从事网站检测时，仍是一套非常好用的工具。 --------------------------可以编辑的精品文档，你值得拥有，下载后想怎么改就怎么改--------------------------- ==========================================================================