标签: WEB扫描器

Linux系统安装w3af

Linux系统安装w3af

 2022年2月3日

w3af这个工具是扫描网站漏洞,比如 SQL注入、盲注、本地\远程文件包含、跨站脚本攻击、跨站伪造请求等。 找了一些正规的工具定义介绍:w3af是一个Web应用安全的攻击、审计(分析)平台,通过增加插件来对功能进行扩展,这是一款用python写的工具,支持GUI,也支持命令行模式。 w3af目前已经集成了非常多的安全审计及攻击插件,并进行了分类,用户在使用的时候,可 以直接选择已经分类好的插件,只...

 栏目: 安全  Tagged: , , , , ,

C2SEC获得Gartner 2021 网络安全EASM全球行业领导者加冕

 2021年6月4日

在最近2021年4月14日的Gartner研究报告《外部攻击面管理核心技术》中,C2SEC被Gartner认可为2021年全球外部攻击面管理EASM(External Attack Surface Management)的行业领导者,同时被Gartner列为新兴供应商,这一认可是对C2SEC创新的SaaS平台和对云中的基于人工智能的自动化实现,独特算法的高质量分析和高级安全功能的认可。 Gartn...

 栏目: 业界  Tagged: , , , , , , , , , , , , ,

Web漏洞扫描:场景可视化重现技术

 2014年11月3日

通过从扫描器给出的离线版漏洞场景文件,可以重现漏洞发现及确认全过程,从而进一步获取漏洞详情,为下一步的漏洞验证、漏洞修复提供更有效的参考数据。

 栏目: 安全  Tagged: , , , ,

Netsparker Community Edition新版发布下载

 2012年9月5日

Netsparker是一款WEB脆弱性扫描器,专业版本功能强大,当然价格也不低——高达数千美元。好在其免费版本提供SQL注入扫描和XSS扫描功能。虽然在功能方面还是有不小的限制,但是准确性不错,平时做渗透测试的时候,还是比较方便的。 游侠安全网推荐指数:★★★☆ 下载地址:http://www.mavitunasecurity.com/communityedition/ Netsparker Co...

 栏目: 业界  Tagged: , , , , ,

OWASP2011将展出web扫描器/waf测评基准

 2011年11月3日

  【IT168 资讯】随着互联网的普及,网络安全随之也成为了炙手可热的新兴领域,而作为全球顶级的Web应用安全组织,OWASP(Open Web Application Security Project)中国将于11月8日-9日在北京举办OWASP 2011亚洲峰会(http://www.owasp.org.cn/)。届时将迎来一场规模大、专业强、影响深远的“网络安全”产品展的视觉盛宴,为有关网络安全的交流与合作提供了一个国际性的发展平台。

  据OWASP 2011亚洲峰会安全产品展负责人透露:本次展会将重量级推出web扫描器和waf测评基准,用于对安全产品进行实际的技术评估和测试,同时测试结果将在本届OWASP峰会上发布。
...

 栏目: 业界  Tagged: , ,

游侠原创:JSky-WEB应用安全检测系统最新版介绍

 2010年7月12日

  相信做渗透测试的兄弟们都晓得pangolin吧?大名鼎鼎的穿山甲--这个星球上SQL注入检测最好的工具之一。
  我们知道pangolin的作者是中国黑客界的大牛zwell,在pangolin之后,又推出过一款名为jsky的WEB应用安全检测系统。当然,在网上您可以下载到pangolin和jsky的早期版本--因为,那时候,它们还都是免费发布的。
  经过几年的不断发展,pangolin和jsky都成了商业版本。与国内外的WEB应用安全检测系统比起来,zwell大牛的作品也是有相当的特色。和zwell聊的时候,他也非常低调,是个埋头做技术的人。今天游侠安全网(www.youxia.org)收到了宇造诺赛(就是将jsky和pangolin商业化运作的公司)邮寄过来的加密狗,于是装上了jsky的最新版,下面游侠将这款优秀的WEB应用安全检测系统展现给大家!
  依然在我的VMware安装一个Windows服务器操作系统,配置IIS,并放入一个有漏洞的网站,这样展示的时候效果好一些。虚拟机的IP地址是192.168.1.44,我修改了本机的hosts文件,将test.youxia.org映射到上面。
  我们新建一个扫描,可以看到,现在可选项比以前丰富了许多:
  
  可以加载扫描列表,可以扫描网段,还可以配置扫描虚拟主机。还可以设置“附加域”进行某个域详细信息的配置。比如*.youxia.org设置扫描,但是不扫描www.youxia.org这个子域。
  至于虚拟主机,我们看看如何配置:
  
  通过whois查询同一台服务器上的网站,这样在做渗透测试的时候会更加便捷

 栏目: 安全, 随笔  Tagged: , , , , , ,

游侠原创:某WEB应用安全扫描器介绍

 2010年6月26日

游侠安全网(www.youxia.org)拿到了某厂商送来测试的Web Application Security Scanner,专门针对WEB应用安全的扫描器,该Scanner可以扫描SQL Injection、XSS/CSS等常见WEB漏洞,并且具备渗透测试功能。

 栏目: 安全, 随笔  Tagged: , , , , , ,

关于WEB扫描器一点思路 from 神刀网

 2010年3月26日

  近来在网络游侠的blog是看到一篇文章:《[网路游侠:WEB应用安全扫描产品概述] 》列举了一些国内外商业的免费的web扫描器及其的一些特点… 他这个问题是在产品推荐的角度上的,可以看的出来web扫描平台的市场竞争还是非常大。

  在实现的技术是来说,他们都是基于url爬行的基础上的,对于基本上很多都是通过正则提取url及参数,只是有的提取url和参数不太一样,很少直接提取,一般都是通过本地代理[类似于代理中间人攻击]来提取。这样的爬行对于web2.0的时代来说,已经有那么点落后了,如复杂的ajax,flash应用,以及js混淆等…
...

 栏目: 安全  Tagged: , , ,