網站管理員必備的網站安全檢測工具
隨着網站越來越多元化,內容或資訊都會不定期更新,而每個新增的頁面或連結,都有可能帶
來新的漏洞,因此,網站的安全性檢測不論在上線前或是每次更新時,都是務必檢查的工作。
但是手動的網站檢測,對使用者而言是很大的負擔,尤其以目前網站動輒數百至數千頁,以人工方式對每一頁進行澈底的安全檢測近乎不可能,此時,方便而自動化
的檢測工具就很重要了。
以下介紹幾套好用、便利及自動化檢測的免費工具,使用者可以自行上網下載使用,對網站安全進行基本的檢查,降低網站被***的風險。
二、工具介紹
iiscan(億思平臺)
億思網站安全檢測平臺能夠提供在線的安全檢測服務,讓用戶可以在線掃描網站的安全隱患,是目前掃描速度最爲理想的國內的掃描工具。針對與網站的SQL注
入,跨站***,網頁篡改等存在漏洞進行掃描,同時還檢測網站的備案情況和判斷網站是否被搜索引擎屏蔽。目前億思已經將網站掃描功能免費化了。而且操作簡單,比較適合一般站長使用。由於億思只提供web版,故大家
只能上它官網掃描,地址百度一下吧。不過這樣也有個好處,就是把任務提交就可以,不必佔着內存等掃描。。
Grendel-Scan
Grendel-Scan工具是一套自動化圖形介面的網站安全性檢測工具,可運行在Windows及Macintosh作業系統上,並提供Source Code下載。 Grendel-Scan可以檢測相當完整的弱點,包含檔案列舉(File Enumeration)、資訊泄漏(Information Leakage)、連線管理(Session Management)、XSS、惡意***(Miscellaneous Attacks)、應用程式架構(Application Architecture)、網站設定(Web Server Configuration)及SQL Injection等弱點分項,使用者可對每一分項再就需要檢測的項目進行細部調整。此外Grendel-Scan亦具備網站爬尋功能,因此在檢測時只需
提供起始頁面,即可取得網站樹狀結構並對每一頁面自動檢測。 Grendel-Scan也具備了許多其他好用的功能,例如:選擇是否使用代理伺服器進行檢測、選擇不同的報告輸出格式、設定檢測速度、預先設定須登入頁
面之帳號密碼,及設定檢測時URL之黑名單與白名單等,這些都是在從事網頁檢測時非常方便的功能。
Burp Suite
Burp Suite 也是一套JAVA語言撰寫成的網頁代理伺服器型檢測工具,使用的方法和Paros類似,但在功能上Burp Suite卻有其獨特處。使用者將代理伺服器指向Burp Suite,使用爬尋功能取得網站樹狀結構之後,即可將找到的頁面送至Burp Suite中其他如掃描(Scanner)、***(Intruder)或重複註冊檢測(Repeater)等功能,其中掃描可檢測XSS、SQL Injection等弱點,而重複註冊檢測則能測試網站是否可防範大量註冊或灌票等弱點。此外,***功能可說是Burp Suite最強大的功能之一,可以對特定頁面傳送大量不同的參數,並觀察特定回傳欄位的變化,對於暴力破解密碼或Blind SQL Injection的檢測都非常好用。唯一美中不足的地方是,免費版的Burp Suite不支援或只有部分支援某些功能(如免費版的***功能測試速度較慢),但其基本功能足以完成很多的網站弱點測試,因此在從事網站檢測時,仍是一套
非常好用的工具。
Nikto
Nikto工具是一款能對網站伺服器執行多種安全測試的自動化掃描軟體,與其他工具不同的是,Nikto爲文字介面之檢測工具,在操作上或許沒有其他工具
那麼直覺,但也不算困難,可在命令提示字元下輸入nikto.pl –Help,即可顯示詳細的操作說明。 Nitko可對伺服器進行全面掃描,包含超過3,500種具有潛在危險的文件或CGI檔案、超過900種伺服器版本問題及逾250種特定伺服器問題。此
外,Nikto的掃描項目和外掛程式仍在持續更新,只須在命令提示字元下輸入nikto.pl –update,即可至Nikto官網下載最新套件進行更新。 Nikto具有另一項特色爲掃描速度快,可在最短時間內對網站伺服器相關的不安全設定、錯誤的配置及久未更新之過時軟體進行偵測,是網站檢測時一個很方便
的利器。