刚才在博客发了一篇文章 [WEB应用安全扫描产品概述],然后没事做就在百度和骨骼搜索了下,结果相当让我满意:
----------图1----------
----------图2----------
----------图3----------
要知道,文章发布也就半小时多点而已。估计到天亮的时候搜索结果就会比较多了,毕竟现在搜索引擎蜘蛛可能也就只爬了这么几个URL。呵呵,睡觉咯!
网上经常有朋友问游侠(www.youxia.org),有什么好的WEB应用安全扫描产品,这里大体的说下。
国内这类产品不算多,当然国外也不算多,数来数去,就那么几个,画个图看看:
商业产品*国外
·Acunetix Web Vulnerability Scanner 6:简称WVS,还是不错的扫描工具,不知道检查的太细致还是因为慢,总之经常评估一个网站的时候一晚上不关电脑都扫描不万……但是报表做的不错。一般用这个扫描的话,不用等那么久,像区县政府的,扫20分钟就差不多了。
·IBM Rational AppScan:这个是IBM旗下的产品,扫描速度中规中矩,报表功能相当强大,可以按照法规遵从生成不同的报表,如:ISO27001、OWASP等,界面也很商业化。
·HP WebInspect:没错,的确就是卖PC的HP公司旗下的产品,扫描速度比上面的2个都快得多,东西还算不错。不过这几天在和NOSEC(下面说的“诺赛科技”)掐架,愣是说NOSEC的iiScan免费扫描平台侵犯隐私,说NOSEC有国家背景……这市场了解的!
·N-Stealth:没装成功,不过很多地方在推荐这个
·Burp Suite:貌似是《黑客攻防技术宝典·WEB实战篇》作者公司搞的,安全界牛人。虽然工具没用过,但是这本书的确是不错……如果您做WEB安全,游侠强烈建议您读一下。
商业产品*国内
·智恒联盟 WebPecker 网站啄木鸟:程序做的不错,扫描速度很快。
·诺赛科技 Pangolin、Jsky:Pangolin做SQL注入扫描,Jsky全面评估,就是上文说的NOSEC,网上扫描平台是iiScan,后台的牛人是zwell。
·安域领创 WebRavor:记得流光(FluXay)否?是的,WebRavor就是小榕所写!小榕是谁?搜下……不用我介绍了吧?
·安恒 MatriXay 明鉴WEB应用弱点扫描器:还没用过,和NOSEC一样,也有网上扫描平台。
·绿盟 NSFOCUS RSAS 极光远程安全评估系统:极光扫描系统新增的WEB安全评估插件,在某客户处见到过扫描报告,不过没用过产品。依照绿盟的一贯风格和绿盟的实力,应该不错。
免费产品
·Nikto:很多地方都在推荐,但游侠本人实在不喜欢命令行产品……各位喜欢的Google或Baidu下吧
·Paros Proxy:基于Java搞的扫描工具,速度也挺快,在淘宝QA团队博客也看到在介绍这个软件。
·WebScarab:传说中很NB的OWASP出的产品,不过我看下载地址的时候貌似更新挺慢
·Sandcat:扫描速度很快,检查的项目也挺多。机子现在就装了这个。
------------
·NBSI:应该说是黑客工具更靠谱,国内最早的,可能也是地球上最早的一批SQL注入及后续工作利用工具,当年是黑站挂马必备……
·HDSI:教主所写,支持ASP和PHP注入,功能就不多说了,也是杀人越货必备!
·Domain:批量扫描的必备产品,通过whois扫描服务器上的服务器,在很长一段时间内风靡黑客圈。
------------
·Nessus:当然它有商业版,不过我们常用的是免费版。脆弱性评估工具,更擅长于主机、服务器、网络设备扫描。
·NMAP:主要倾向于端口等的评估。
·X-Scan:安全焦点出品,多少年过去了,依然是很强悍的产品。大成天下曾经做过商业版的“游刃”,但最近已经不更新了,很可惜。
其实能做评估的工具还有很多,如:
·Retina Network Security Scanner
·LANguard Network Security Scanner
·榕基RJ-iTop网络隐患扫描系统
不过和Nessus和NMAP一样,主要倾向于主机安全评估,而不是WEB应用安全评估。但我们在WEB安全评估的时候,不可避免的要对服务器做安全扫描,因此也是必然要用的工具。
好了,大体的也说了下,各位感兴趣的可以在网上找下相关资料或下载。看完感觉有点收获的,就转发给您的朋友吧。现在都凌晨了,刚敲完……游侠(www.youxia.org)在此谢过了!
作者:张百川(网路游侠)
网站:https://www.youxia.org
转载请注明来源!谢谢合作。
网上有位朋友给我留言,说:
您好,我怀疑我的移动硬盘中有一份机密文件被竞争对手拷贝走了,当然我现在不确定,请问如何查询我的移动硬盘的使用和拷贝记录?
据游侠所知:如果您的移动硬盘是普通的移动硬盘,那么资料被拷贝走是没有记录的,或者说即使有办法,如用法政软件分析,也比较困难。所以,如果您担心移动硬盘数据的安全性,请采用数据加密软件。比如TrueCrypt,或其它相关软件。另外,游侠不建议您用“伪加密”软件,如一些靠隐藏文件实现的“加密”。
【赛迪网讯】1月22日消息,据国外媒体报道,微软星期三晚上发布了关于上个星期事件的第二个安全公告。微软警告用户称,在所有32位版Windows的内核中有一个存在了17年的安全漏洞。黑客利用这个安全漏洞能够劫持用户的PC。
这个存在于Windows DOS虚拟机(VDM)子系统中的安全漏洞是谷歌工程师Tavis Ormandy星期二在“全面披露”安全邮件列表中披露的。碰巧的是Ormandy因为报告微软上个星期在例行性的补丁星期二修复的一个安全漏洞而受到了称赞。
这个VDM子系统是在1993年发布Windows NT的时候增加到Windows中的。那是微软的第一个完全32位的操作系统。VDM允许Windows NT和以后版本的Windows运行DOS和16位的Windows软件。
...
下文内容来自信息与网络安全从业者QQ群53651293
内容有整理,不一定是原话,但游侠尽量保持原汁原味
1、关于IM软件:
我不用MSN,一帮自以为是的小白领们以为用这个好、牛逼,却不知道这东西一点都不安全
他们只以为用MSN就高贵,实际上却不知道这是个明文传输信息的烂货。
如果用MSN,必须用套(指的是可以加密传输的MsnShell)
--------------------------
游侠:隐私保护很重要,请慎选IM软件
2、针对桌面管理:
你装完客户端,所有人都会抱怨,他的机器慢了,他的网慢了,他什么什么不对了,他手机不震动了,他老婆跑了……都来找你
我们当年做一个2000点的桌管,结果三个工程师走了俩。至今都没验收,快3年了
一开始是一X通,后来换一个什么来的,也很有名的,好像名字里带个北的,再然后又上了XX防水墙
反正那个集成项目坐下来,集成商跑了俩工程师,中X跑了一个,天X信跑了一个,大洗牌
--------------------------
游侠:桌面管理系统问题多多,切记多测试,很多桌面管理项目实施失败的主要原因是客户只看厂家宣传,贪图那些花哨的功能,并且未经严格、长时间测试
3、关于安全加固:
A:靠,刚做过一个1200台的服务器加固,也是做死人的项目
B:加固可以用脚本来做,然后再用组策略去派,不久好了
C:这么多,累吐血。只是跑也够累的
A:脚本我们用了,16种系统……2个月不到,20个人,基本上扒了一层皮
4、关于牢骚和郁闷:
A:桌管,加固,兄弟们能别碰就别碰
B:小的可以碰,O(∩_∩)O哈哈~
C:加固打死不碰,否则没打死也给累死。
D:加固还好,还有一个最要命的,服务器万一挂了出事故,加固完了,搞运维的啥问题都往你身上推。你问他们,这个账户干吗的?能不能删?——不知道!这个端口是什么服务,需要吗?——不知道!
E:没给你句知道还要你们来做什么就不错了
5、关于WEB扫描:
公司的WEB扫描出了点问题——负责开发的老大一看这个有前途,自己跑去开公司了……我们研发就耽误了一下
--------------------------
游侠:汗……自己跑去做了
以上内容来自信息与网络安全从业者QQ群53651293,转载请包含本声明。
目前网络协议分析类产品火爆的很,游侠(www.youxia.org)其实在几年前就在关注这个市场,目前应该说已经做的如火如荼,但是貌似依然有很多人对这类产品认识有偏差,简单说几句:
网络协议分析类产品基本上就是三类:
从功能上来说,网络协议分析类产品基本上要做到:WHO、WHEN、WHERE、WHAT。不明白?看图就明白了:
1、行为管理
上网行为管理大家应该不陌生了,功能上来说:按照时间策略进行网络管理、按照IP/MAC策略进行网络管理、按照帐号策略进行网络管理,现在某些厂家大力推广其“千万级”URL分类库,相当有派头。
应用场景:
游侠是某公司网络管理员,某日BOSS说:N多人上班时间炒股票、玩游戏,200人每天浪费1小时就是200小时啊!我给他们发工资,这都是我的血汗,立刻把这些干掉!于是,于是……于是我只能祭出网络行为管理产品,让所有的人在上班时间无法登录股票网站、无法炒股软件、无法打开游戏网站、无法玩网络游戏……BOSS于是满意了……脸上洋溢着得意的笑容!
上网行为管理产品的难度也就在于URL分类库,即使是上面说到的千万级(可都是中文呢!)URL分类库,也经常有问题,如某误分类等。游侠在测试某上网行为管理产品的时候,发现我的www.youxia.org是属于“生活类”网站。
典型产品:网康、深信服、瑞达时代、网际思安、金盾、绿盟、陕西电信天御五行(本处只是随手举例,和市场份额无关、和厂家名气无关、和其人品无关……等等。比较谦虚,自家产品放在最后,有意者可以和游侠本人联系)
2、流量控制
流量控制产品在企业中也是需求非常多的,特别运营商、大学、大型企业,你在10M光纤的时候,上网很卡,升级到100M,发现快了十天半月之后又是很卡!于是BOSS开始发飙:网关!你丫花老子钱,一年十几万,为何比10M的时候快了一点点?!给哥解释!神啊,最见不得BOSS发飙了……
为什么10M到100M速率上×10,但是实际用的时候只感觉×2呢?——因为10M的时候他在土豆网掘土豆卡,100M的时候不卡了,并且普清换高清了;因为以前在单位下电影只有100K,在家下电影120K,他都在家下电影,现在公司100M,所以都在公司下周了;因为……啥?为何有十天半月的“蜜月期”?因为那些电影狂人还没买来新的1TB的超大移动硬盘!
网络流量控制难点在于应用协议分析,请注意我这里说的是“应用协议”分析,而不是“网络协议”分析。迅雷、eMule、百度下吧……等都是应用协议,而不是网络协议。并且这些都在一直变换、升级,如迅雷就有完整版、mini版、WEB迅雷等版本,都需要控制,并且会不定时更新。
典型产品:Allot、Cisco、L7、AceNet、QQSG、不得不说的NB产品Panabit……
3、协议审计
这里说的协议是彻底的网络协议,如:HTTP、FTP、SMTP、POP3、ARP、ICMP、UDP、ARP等。要做的事情是什么呢?当然HTTP、SMTP、POP3这块基本上和本文第一部分“行为管理”部分是很相似的。但是一般来说并不要求控制,仅要求审计。但……
大家知道,对于航空、航天、兵器、政府能纯内网而言,FTP等也是相当重要的部分,很多场景下需要对文件服务器操作进行审计,那么就需要FTP协议的审计;内网ARP病毒泛滥的时候,ARP协议审计就派上了用场!分级、等级保护等要求对邮件流向做控制,那就需要对SMTP、POP3协议做审计……
还有一些是比较偏门的,如管理员需要通过SecureCRT、SSH等管理Unix、Linux服务器,那么需要对SSH操作进行审计——什么?SSH加密?目前通过Cain就可以抓到SSH v1的内容,当然SSH v2还是比较保险的,但是如果需要操作审计,也是有办法进行审计的。另外管理员通过telnet管理交换机,也可以进行审计。
典型产品:启明星辰、绿盟、汉邦、天融信、联想网御、网御神州、帕拉迪、奇智……
其实目前很多产品都是综合型的,有些产品覆盖了上述1、2、3的所有部分功能,有的则是术业有专攻,大家可以根据自己的需求进行选择。另外请大家谨记:记录电子邮件内容、记录IM聊天内容等涉及个人隐私的“监控”行为(注意我用的是“监控”而不是“审计”)是与我国法律相悖的。
补充一下:
有些产品现在往往只注重一个功能,衍生出了产品,如:发帖审计系统、数据库审计系统、邮件审计系统等。另外本文只分析了硬件产品,软件产品没有分析。
版权声明:张百川(网路游侠)https://www.youxia.org
信息与网络安全从业者QQ群:53651293,可容纳500名专业网安从业者的超级QQ群欢迎您的加入!
目前IE零日漏洞攻击的目标是IE 6的用户,微软上周日的更新中向用户表示:IE 6属于老版本的浏览器,它不包含最新的安全性能。
微软可信赖计算安全组织(Microsoft's Trustworthy Computing Security organization)的总经理George Stathakopoulos说:“基于对多个源头的严密分析,目前我们还没有发现针对IE7和IE8的成
新京报1月19日报道 近期我国网络安全势态严峻,记者昨日从工信部获悉,1月4日至10日,境内被篡改政府网站数量为178个,与前一周相比大幅增长409%。
此消息的依据是国家互联网应急中心监测结果,工信部称,对这段时间互联网网络安全整体评价为差。
中国计算机学会理事吕京建认为,当前我国政府网站大多很脆弱,易受攻击。对于政府网站的攻击者,吕京建认为有几种可能性,一种是有组织的恐怖组织;一种是个别网络黑客得不到引导恶作剧;还有可能是民间的网络部队认为自己没得到重视,借以攻击政府网站希望被注意。
...
1月18日,百度正式宣布,李一男因个人原因提出辞职,即日起不再担任首席技术官的职务。这是继十天前,百度COO叶朋离任后,百度再次发生的高层震荡。李一男在回复给记者的短信中表示:“百度是一个简单可依赖的环境,有着优越的商业模式和创新宽松的企业文化,我也觉得过去和其他同事工作得非常开心。”
但李一男没有针对离职真正原因,做出实质性表述。对此,百度方面也不愿做更多解释,“李一男本人希望保持低调。”在官方的声明中,百度方面仅表示,“感谢他在职期间为百度做出的贡献,并祝愿他的未来更加美好。”
据记者了解,李一男从百度辞职后,将出任北京讯奇公司首席执行官。资料显示,无限讯奇是中国移动12580综合信息服务门户的独家合作伙伴,承建中国移动12580综合信息服务门户及运营支撑平台。
...
漏洞扫描可以执行预定的或事件驱动的网络探测,包括对网络通信服务、操作系统、路由器、电子邮件、Web服务器、防火墙和应用程序的检测,识别能被入侵者利用来进入网络的漏洞。网络漏洞扫描系统把极为繁琐的手工安全检测,通过程序来自动完成,这不仅减轻管理者的工作,而且缩短了检测时间,使安全问题更早被发现。通过漏洞扫描系统,可以把安全专家积累的安全评估知识和评估能力转移给系统管理员,让系统管理员轻松地了解网络的不安全因素、操作系统的安全漏洞、主机是否被安装了窃听程序、防火墙是否存在配置错误等等。及时发现网络漏洞,并在网络攻击者扫描和利用漏洞之前予以修补,有效提高网络的安全性。
产品特色
超强的扫描能力:支持Nessue的脚本库,支持超过12000种的网络安全隐患的探测能力
Bugtraq ID: 37815
Class: Unknown
CVE: CVE-2010-0249
Remote: Yes
Local: No
Published: Jan 14 2010 12:00AM
Updated: Jan 15 2010 10:51PM
Credit: This issue was discovered in the wild.
Vulnerable: Microsoft Internet Explorer 8
Microsoft Internet Explorer 7.0
...
网易科技讯 1月18日消息,据媒体报道,CNNIC计划重新开放针对个人用户CN域名注册申请,目前的最新进展为正在研究起草个人注册域名开放方案,并推进修订《域名注册实施细则》的相关条款。
2009年12月,CNNIC发布《关于进一步加强域名注册信息审核工作的公告》,该公告实施后个人注册CN域名的活动被叫停。此前虽然在《中国互联网络信息中心域名注册实施细则》中规定,依法登记并且能够独立承担民事责任的组织才可申请CN域名,但对个人注册CN域名的活动并未做出明确限制,个人可以通过代理机构进行CN域名的注册,但在《公告》发布后,各大域名注册机构随即停止了个人用户注册CN域名的服务。
...
近年来,随着科学技术的不断进步,越来越多的涉密信息以数据的形式保存在计算机和服务器中, 这种存储方式大大提高了工作效率,但也增加了泄密的危险,网络、笔记本、U盘等移动存储介质的普及更让这种风险雪上加霜。面对严峻的安全形势,如何保证涉密信息安全,并有效防止泄密事件的发生,成为摆在每个网络管理人员面前的难题。俗话说:知己知彼,百战不殆,下面就让我们来分析一下涉密文件都存在哪几种泄密途径,从而找出相应的对策。
一、涉密存储介质管理失控:
2007年11月,英国税务及海关总署丢失两张重要数据光盘
【1月17日更新】
McAfee CTO George Kurtz在发表了新的博客文章,称之前提到的极光行动中使用的针对IE漏洞的恶意代码已经在网上发布,但他没有说明是哪个网站。
稍早前媒体报道,Yahoo应该在Google受攻击之前就遭到了攻击,但它没有公开,只是自己加强了安全防范。
【1月16日7:30重要更新】
《连线》杂志文章给出了大量攻击细节,
