摘要: 不知道还有多少人记得BugScan?曾经也是一个非常火爆的网站……不过站长的确是有些低调,所以网站最近反而越来越不为人所知了……但是的确有一些不错的东西,特别是在线Web安全扫描,做的还很有特色。 网址:http://bugscan.net 各位小伙伴们可以用...
不知道还有多少人记得BugScan?曾经也是一个非常火爆的网站……不过站长的确是有些低调,所以网站最近反而越来越不为人所知了……但是的确有一些不错的东西,特别是在线Web安全扫描,做的还很有特色。
网址:http://bugscan.net
各位小伙伴们可以用QQ直接登录,然后……“添加任务”
当然,在扫描之前,你需要按照网站的说明,安装python,并启动程序。窃以为BugScan设计的非常精巧,就是本身不提供扫描引擎,只提供在线漏洞库,你扫描的话,相当于本地、远程联动,才能发动扫描任务。就是传说中的分布式扫描了……
搞定后,如果要启动扫描,只需在“扫描入口”处输入你要扫描的网址,如 https://www.youxia.org 或者其它 ……(表扫偶了!违者封IP半小时!)
页面有提示:节点私有、支持多节点集群、任务自动分发。设计还是很先进的。上图明确标注了你电脑(引擎)的IP、上线时间、操作系统、版本、状态等信息。
支持的漏洞类型包括:通用常见漏洞,SQL注入、XSS等……
应用程序漏洞这里,支持的比较多,游侠只是截取了一部分,一些最新的漏洞也收录了,还有一些是国内程序、中文程序的漏洞,国外扫描器不好用的那种哦!
信息收集类,游侠和身边的朋友,普遍认为“流行CMS程序识别”做的不错!有时候做渗透,由于站长把程序修改的面目全非,手头一堆武器不好用,而这个流行CMS程序识别可以很快判断网站的程序类型,如DedeCMS、FoosunCMS、PHPCMS、WordPress等,非常方便,有了这个就可以有的放矢了!
服务配置缺陷,不多说了……你可以直接点某一个漏洞,看详细信息和解决方式。
敏感信息泄露,建议选上这里的几个,往往有收获!
系统弱口令,这个……看人品吧。
最后是高级扫描,你可以选择默认,懂的话也可以做下配置。游侠我都是默认,因为我一般也不需要扫描子域和端口。
点网站协议,同意不做坏事后,就开始扫描咯!
然后……等待。可以去喝喝茶、看看电视,也可以微信、陌陌、遇见搜下附近的妹子……恩,你懂的。
大约等……看网站大小吧,小网站啊十几分钟,大的话……还得看你网速。无聊的话可以这个网站的合作网站:http://sebug.net/?有漏洞库,并且往往还有测试代码和解决方案,目前号称:
- 700个应用厂商30,000条漏洞信息42,000个技术文档
- 138篇技术文章13,000个漏洞测试用例37个分类8,000个漏洞解决方案
并且,持续更新中,游侠在这里一并推荐了。
游侠在这里贴上一个比较有名的漏洞测试网站的扫描结果:testphp.vulnweb.com
当然,为了防止扫描平台被用来做坏事,BugScan屏蔽了一些敏感信息,如果没验证的话,只会显示安全级别提示,如下:
若想看详细信息,点“验证”后,在网站首页增加一段代码,或上传一个bugscan.txt文件即可。
同时,BugScan还和李开复创新工场旗下的安全宝有合作 http://www.anquanbao.com/examination-engine 安全宝也调用了BugScan的引擎数据。
总的来说,BugScan是一款不错的Web漏洞在线扫描工具,并且其分布式扫描的理念也很不错。如果您手头也有与不错的软件、网站,也欢迎分享到游侠安全网。
作者:张百川(网路游侠)www.youxia.org 转载请注明来源!谢谢