张百川（网路游侠）的博客

　　好几个朋友和我说过Safe3 Web Vul Scanner了，前一段时间作者也加了游侠的QQ，聊了下，并给我注册了个Safe3 WVS，看了下功能不错。
　　为了说明其功能，我在这里扫描个不大不小的站吧，设置参数，点菜单“Setting”：

　　·Scanning Threads：默认值是10。扫描的线程，值越大扫描速度越快，当然占用主机资源越多。不过以游侠自己的测试，即使是改成30，对资源的占用也完全可以接受

More...

　　昨天游侠写过一篇文章 [关于几个免费在线挂马检测网站] ，说到了北京知道创宇公司的“知道网站安全体检中心”，他们的工作人员很及时的给我发了个内测账号，这里大体说下。当然网址是 http://www.scanv.com 大家可以去申请内测账号。
　　流程基本是这样：
　　1、发邮件到知道网站安全体检中心，邮箱网站有
　　2、等待收到邀请，有个URL，点击打开网站后用收到邮件的信箱注册
　　3、添加要检测的网站。分普通体检、专家体检两部分。普通体检只是检测是否被挂马，专家体检则包括“敏感关键词、挂马、网站备案、SQL注入、XSS”等检测内容，可以选择扫描周期。
　　4、专家体检需要等待扫描结束，就可以查看体检报告了！
　　下面简单说说，界面相当简洁，一眼就能看明白：

　　在“普通体检”可以增加“我关注的网站”，这里无需做任何验证，只要写入URL即可。如下图：

　　看看添加后的界面：

　　当然除了看到的，还有这些项目：检测次数、挂马次数、开始监控时间、最后挂马时间。基本够用了。
　　对于站长朋友们而言，更需要的是“专家体检”，看看添加界面：

　　需要输入网址、检测深度、最大页数、基本检测（提供1-7天周期，提供敏感关键词、挂马检测、网站ICP备案检测）、高级检测（提供2-28天周期，提供SQL注入漏洞检测、跨站脚本（XSS）漏洞检测）、提供邮件提醒。对于绝大多数对网站安全一无所知的站长而言，相当容易配置，相信1分钟就可以快速添加自己的网站。
　　添加好后是这样的：

　　当然，你刚添加完在“检测结果”看到的是正在检测，等一会就扫描完了，就和上图一样了。
　　下面给个单次扫描结果，游侠博客（www.youxia.org）的：

　　提示有跨站脚本漏洞。手工测试了下，貌似也不大好利用。
　　下面的是综合性安全评估报表里面的一部分内容：

　　整体而言，“知道网站安全体检中心”做的还是不错的，如果您有兴趣可以去申请个测试账号看看。

　　日前，绿盟科技正式宣布，绿盟远程安全评估系统（原“极光”远程安全评估系统，简称NSFOCUS RSAS）针对Web应用安全检查的需求，隆重推出专业的Web应用扫描模块。
　　全新的NSFOCUS RSAS产品Web扫描功能，综合应用了很多业内领先的技术，如模拟点击智能爬虫技术、主动挂马检测及核心调度引擎，为用户提供精准的检测结果及最高效的检测效率。可以应用于网站管理员进行Web上线前安全测试、上线后周期性安全评估以及企业安全管理员进行统一的风险监控与管理。
　　绿盟科技安全专家介绍，相比传统Web扫描器仅局限于提供Web应用层的漏洞扫描，该产品能够为Web应用系统提供最为全面的漏洞检测范围，包含Web应用（SQL注入漏洞、跨站脚本漏洞、CGI漏洞，以及网页挂马等漏洞）、Web 服务及支撑系统（网络层、操作系统层、数据库）等多层次全方位的安全漏洞扫描、审计、渗透测试和辅助逻辑分析。

More...

　　大家应该都记得曾经风靡一时的X-Scan、流光吧？当然与此类似的评估工具还有很多。但是随着技术的发展，现在前面提到的2款安全扫描工具由于偏重于主机系统扫描，但现在WEB服务器、数据库服务器、业务服务器前一般都部署了防火墙、入侵检测等系统，因此并不容易扫描出有效的漏洞。因此，网上应用安全扫描平台应运而生。
　　当然，做WEB应用扫描的话，需要较深的技术功底，就目前最流行的攻击手法而言，是：SQL注入、跨站、表单绕过。当然在这里就SQL注入也细分很多种，跨站也是了。游侠（http://www.youxia.org）到厂商要了个测试账号。下面给大家一起看看！
　　当然，利用网上应用安全扫描平台对网站进行安全评估的过程和X-Scan、流光的差不多，但是由于产品包含有渗透测试模块，因此为了防止误用、滥用，增加了审核模块。在网上平台提交了需要扫描的对象后，需要下载一个特征码文件，传到WEB服务器上，认证后才能通过！
　　下图是第一步，增加一个扫描对象。我们可以看到只要输入网站名称、URL、网站类型即可。很简单。

　　添加网站后，需要提交验证，并等待厂商相关部门的审核，通过之后是这样子：

　　在这里，打上“√”点“开始扫描”就可以了。当然，还可以选择扫描带宽、渗透测试的范围等。由于“排队扫描”的人太多，需要等待……要是可以提高我的优先级就好了！
　　补上一句，扫描是要收费滴！因为这个平台是运营的。下面是我账号的信息：

　　写到这里，想来想去，由于截图的网站前部署了防火墙，并且用的都是最新的程序，估计也扫描不出多少结果，于是干脆换一个网站，一个有点漏洞的网站，这样效果比较明显——就这样华丽的逆转了！ :)
　　扫描结束了，下面是网站脆弱性评估报表，当然下面只截取了图：

　　脆弱性评估报表图下面详细的描述了漏洞名称、风险等级、风险相关的Url和参数等信息。下面是一个详细的描述：

　　这样很简单的就进行了一次网站的整体安全评估，对于没有想及时了解网站安全性的单位还是很有必要的，并且评估一次的价格也不高 呵呵。

More...

至少就最近这两个月来说，网站安全应该是个热点
因为刚好是我们建国60周年 呵呵
所以……注定，有些安全防范要加强的！
下图是游侠申请的某厂商的网站安全评估界面：

进一步的正在联系，搞个结果上来 呵呵

　　===========================================
　　WEB安全
　　www.youxia.org
　　===========================================

　　1 抗DoS/DDoS产品
　　2 整体漏洞扫描产品
　　3 网站脆弱性评估产品
　　4 服务器加固
　　　　4.1 操作系统加固
　　　　4.2 数据库加固
　　5 数据库脆弱性评估
　　6 数据库审计
　　7 SOC平台实时监控
　　8 网站木马检测
　　9 网站防篡改系统
　　10 代码审计
　　　　10.1 asp
　　　　10.2 php
　　　　10.3 jsp
　　11 IPS入侵防御
　　12 IDS入侵检测
　　13 WEB应用防火墙
　　14 防火墙
　　===========================================
　　网路游侠 QQ：175589438 提供网站安全整体解决方案。
　　===========================================
2009年06月21日 网友“无心喃呢”建议，增加“以人为本”