所谓的模糊测试在这里很流行。如何借助它搜索网站漏洞?您故意将大量完全不同的数据传输到您自己的资源中,以便查看系统哪些部分是最薄弱的。从应用程序对虚假攻击的反应可以清楚地看出这一点。
当然,模糊测试有助于发现系统中的薄弱环节,但借助它很难了解应用程序运行中错误的确切性质。如果将模糊测试与手动分析结合起来,这会更容易做到,但随后您将需要访问资源的源代码。
请记住,模糊测试攻击涉及大量信息的传输,因此该过程会产生很大的噪音。此外,您应该非常小心,因为安全系统会对这些即兴的黑客攻击做出反应。
以下是扫描过程中一些工具的列表:
WPScan是一个专为 WordPress 分 厄瓜多尔号码数据 析而设计的 Ruby 开发。具有开源访问权限。该工具非常易于使用,如果您不经常更新资源且在其上运行了大量插件,那么它非常适合您。该实用程序远程扫描资源并且不使用源代码。
BurpSuite - 通过搜索引擎启动,是用于识别网站或任何应用程序的漏洞的重要工具。该实用程序具有广泛的功能,可影响所有形式的 Web 资源、测试不同的标头、输入到搜索引擎的查询及其响应、扫描 URL、分析 JavaScript 代码并识别网站中的 XSS 漏洞。总的来说,这是一个功能强大的程序,但使用起来并不那么容易。
SQLMap-用于扫描存在 SQL 漏洞的站点。查找可能发生 SQL 入侵的危险地方。
试运行
这是寻找可能攻击您的网络资源的弱点的最后阶段。基本上,如果你设法消除了危险,那么任务就完成了。但通常问题相当复杂,需要进行严格的测试,最好不要在生产系统上执行。在这种情况下,建议创建一个虚拟对象并演示其上所有流程的运行。
有专门的工具可以实现这个目的:
BurpSuite-用于检测网站上的XSS漏洞并通过利用它们进行测试;
SQLMap是一个用于检测网站 SQL 漏洞并通过利用进行测试的工具;
Metasploit——用于利用发现的漏洞。
试运行
资料来源:Tapati Rinchumrus / shutterstock.com
最后提到的工具(Metasploit)是一个专门设计用于检测可能发生攻击的危险场所的环境。
这里针对添加到系统的插件和初始阶段识别的服务提供了现成的漏洞利用。
最后一步。现在需要对系统进行所有必要的修正。关于漏洞的信息已经收集完毕,剩下的就是利用它。请记住,如果您自己设法找到危险的“裂缝”,那么黑客也会轻易找到它们。
这里仅列出了一些可用于检测网站漏洞的最受欢迎的服务。在这些项目中,有一些代表了行业标准。然而,它们中的任何一个都能够完全保护您的网络资源或基础设施。
- Board index
- All times are UTC
- Delete cookies
- Contact us