不知道还有多少人记得BugScan?曾经也是一个非常火爆的网站……不过站长的确是有些低调,所以网站最近反而越来越不为人所知了……但是的确有一些不错的东西,特别是在线Web安全扫描,做的还很有特色。

网址:http://bugscan.net

各位小伙伴们可以用QQ直接登录,然后……“添加任务”

20130906211221

当然,在扫描之前,你需要按照网站的说明,安装python,并启动程序。窃以为BugScan设计的非常精巧,就是本身不提供扫描引擎,只提供在线漏洞库,你扫描的话,相当于本地、远程联动,才能发动扫描任务。就是传说中的分布式扫描了……

搞定后,如果要启动扫描,只需在“扫描入口”处输入你要扫描的网址,如 https://www.youxia.org 或者其它 ……(表扫偶了!违者封IP半小时!)

20130906211604

页面有提示:节点私有、支持多节点集群、任务自动分发。设计还是很先进的。上图明确标注了你电脑(引擎)的IP、上线时间、操作系统、版本、状态等信息。

支持的漏洞类型包括:通用常见漏洞,SQL注入、XSS等……

Images_002

应用程序漏洞这里,支持的比较多,游侠只是截取了一部分,一些最新的漏洞也收录了,还有一些是国内程序、中文程序的漏洞,国外扫描器不好用的那种哦!

Images_003

信息收集类,游侠和身边的朋友,普遍认为“流行CMS程序识别”做的不错!有时候做渗透,由于站长把程序修改的面目全非,手头一堆武器不好用,而这个流行CMS程序识别可以很快判断网站的程序类型,如DedeCMS、FoosunCMS、PHPCMS、WordPress等,非常方便,有了这个就可以有的放矢了!

Images_004

服务配置缺陷,不多说了……你可以直接点某一个漏洞,看详细信息和解决方式。

Images_005

敏感信息泄露,建议选上这里的几个,往往有收获!

Images_006

系统弱口令,这个……看人品吧。

Images_007

最后是高级扫描,你可以选择默认,懂的话也可以做下配置。游侠我都是默认,因为我一般也不需要扫描子域和端口。

Images_008

点网站协议,同意不做坏事后,就开始扫描咯!

然后……等待。可以去喝喝茶、看看电视,也可以微信、陌陌、遇见搜下附近的妹子……恩,你懂的。

大约等……看网站大小吧,小网站啊十几分钟,大的话……还得看你网速。无聊的话可以这个网站的合作网站:http://sebug.net/?有漏洞库,并且往往还有测试代码和解决方案,目前号称:

  • 700个应用厂商30,000条漏洞信息42,000个技术文档
  • 138篇技术文章13,000个漏洞测试用例37个分类8,000个漏洞解决方案

并且,持续更新中,游侠在这里一并推荐了。

游侠在这里贴上一个比较有名的漏洞测试网站的扫描结果:testphp.vulnweb.com

20130906213224

当然,为了防止扫描平台被用来做坏事,BugScan屏蔽了一些敏感信息,如果没验证的话,只会显示安全级别提示,如下:

20130906213934

若想看详细信息,点“验证”后,在网站首页增加一段代码,或上传一个bugscan.txt文件即可。

同时,BugScan还和李开复创新工场旗下的安全宝有合作 http://www.anquanbao.com/examination-engine 安全宝也调用了BugScan的引擎数据。

总的来说,BugScan是一款不错的Web漏洞在线扫描工具,并且其分布式扫描的理念也很不错。如果您手头也有与不错的软件、网站,也欢迎分享到游侠安全网。

作者:张百川(网路游侠)www.youxia.org 转载请注明来源!谢谢

作者 网路游侠

游侠安全网,前身为网路游侠的信息与网络安全博客,站长张百川。专注:网络安全、系统安全、应用安全、数据库安全、运维安全,及网络安全、信息安全前沿技术研究与发展趋势分析。对关键信息基础设施安全防护管理平台、网络安全态势感知平台、网络安全协调指挥平台有一定关注。