現(xiàn)在有許多消息令我們感到Web的危險(xiǎn)性。掃描程序可以在幫助造我們?cè)彀踩腤eb站點(diǎn)上助一臂之力,也是說(shuō)在黑客“黑”你之前,先測(cè)試一下自己系統(tǒng)中的漏洞。我們?cè)诖送扑]10大Web漏洞掃描程序,供您參考。

  1. Nikto

  這是一個(gè)開源的Web服務(wù)器掃描程序,它可以對(duì)Web服務(wù)器的多種項(xiàng)目(包括3500個(gè)潛在的危險(xiǎn)文件/CGI,以及超過(guò)900個(gè)服務(wù)器版本,還有250多個(gè)服務(wù)器上的版本特定問(wèn)題)執(zhí)行徹底的測(cè)試。其掃描項(xiàng)目和插件經(jīng)常更新并且可以自動(dòng)更新(如果須要的話)。

  Nikto可以在盡可能短的周期內(nèi)測(cè)試你的Web服務(wù)器,這在其日志文件中相當(dāng)明顯。不過(guò),如果你想試驗(yàn)一下(或者測(cè)試你的IDS系統(tǒng)),它也可以支持LibWhisker的反IDS要領(lǐng)。

  不過(guò),并非每一次檢查都可以找出一個(gè)安全問(wèn)題,雖然多數(shù)情況下是這樣的。有一些項(xiàng)目是僅提供信息(“info only” )類型的檢查,這種檢查可以查找一些并不存在安全漏洞的項(xiàng)目,不過(guò)Web管理員或安全工程師們并不知道。這些項(xiàng)目通常都可以恰當(dāng)?shù)貥?biāo)記出來(lái)。為我們省去不少麻煩。

  2. Paros proxy

  這是一個(gè)對(duì)Web應(yīng)用程序的漏洞執(zhí)行評(píng)估的代理程序,即一個(gè)基于Java的web代理程序,可以評(píng)估Web應(yīng)用程序的漏洞。它支持動(dòng)態(tài)地編輯/查看HTTP/HTTPS,從而改動(dòng) cookies和表單字段等項(xiàng)目。它包括一個(gè)Web通信記錄程序,Web圈套程序(spider),hash 計(jì)算器,還有一個(gè)可以測(cè)試常見的Web應(yīng)用程序攻擊(如SQL注入式攻擊和跨站腳本攻擊)的掃描器。

  3. WebScarab

  它可以分析運(yùn)用 HTTP 和HTTPS協(xié)議執(zhí)行通信的應(yīng)用程序,WebScarab可以用基本地形式記錄它觀察的會(huì)話,并允許操作人員以各種方式觀查會(huì)話。如果你須要觀察一個(gè)基于HTTP(S)應(yīng)用程序的運(yùn)行狀態(tài),那么WebScarabi可以滿足你這種須要。不管是幫助開發(fā)人員調(diào)試其它方面的難題,還是允許安全專業(yè)人員識(shí)別漏洞,它都是一款不錯(cuò)的工具。

  4. WebInspect

  這是一款強(qiáng)大的Web應(yīng)用程序掃描程序。SPI Dynamics的這款應(yīng)用程序安全評(píng)估工具有助于確認(rèn)Web應(yīng)用中已知的和未知的漏洞。它還可以檢查一個(gè)Web服務(wù)器能不能正確配置,并會(huì)嘗試一些常見的Web攻擊,如參數(shù)注入、跨站腳本、目錄遍歷攻擊(directory traversal)等等。

  5. Whisker/libwhisker

  Libwhisker是一個(gè)Perla模塊,適合于HTTP測(cè)試。它可以針對(duì)許多已知的安全漏洞,測(cè)試HTTP服務(wù)器,特別是檢測(cè)危險(xiǎn)CGI的存在。Whisker是一個(gè)運(yùn)用 libwhisker的掃描程序。