大家应该都记得曾经风靡一时的X-Scan、流光吧?当然与此类似的评估工具还有很多。但是随着技术的发展,现在前面提到的2款安全扫描工具由于偏重于主机系统扫描,但现在WEB服务器、数据库服务器、业务服务器前一般都部署了防火墙、入侵检测等系统,因此并不容易扫描出有效的漏洞。因此,网上应用安全扫描平台应运而生。
当然,做WEB应用扫描的话,需要较深的技术功底,就目前最流行的攻击手法而言,是:SQL注入、跨站、表单绕过。当然在这里就SQL注入也细分很多种,跨站也是了。游侠(https://www.youxia.org)到厂商要了个测试账号。下面给大家一起看看!
当然,利用网上应用安全扫描平台对网站进行安全评估的过程和X-Scan、流光的差不多,但是由于产品包含有渗透测试模块,因此为了防止误用、滥用,增加了审核模块。在网上平台提交了需要扫描的对象后,需要下载一个特征码文件,传到WEB服务器上,认证后才能通过!
下图是第一步,增加一个扫描对象。我们可以看到只要输入网站名称、URL、网站类型即可。很简单。
添加网站后,需要提交验证,并等待厂商相关部门的审核,通过之后是这样子:
在这里,打上“√”点“开始扫描”就可以了。当然,还可以选择扫描带宽、渗透测试的范围等。由于“排队扫描”的人太多,需要等待……要是可以提高我的优先级就好了!
补上一句,扫描是要收费滴!因为这个平台是运营的。下面是我账号的信息:
写到这里,想来想去,由于截图的网站前部署了防火墙,并且用的都是最新的程序,估计也扫描不出多少结果,于是干脆换一个网站,一个有点漏洞的网站,这样效果比较明显——就这样华丽的逆转了! 🙂
扫描结束了,下面是网站脆弱性评估报表,当然下面只截取了图:
脆弱性评估报表图下面详细的描述了漏洞名称、风险等级、风险相关的Url和参数等信息。下面是一个详细的描述:
这样很简单的就进行了一次网站的整体安全评估,对于没有想及时了解网站安全性的单位还是很有必要的,并且评估一次的价格也不高 呵呵。
作者:张百川(网路游侠)
网站:https://www.youxia.org
转载请注明来源!谢谢合作。
