關于十大Web網站漏洞掃描程序

　　網站要依靠服務器來運行整個體系，服務器的安全程度直接關系著網站的穩(wěn)定程度，加強服務器的安全等級，避免網站信息遭惡意泄露。

　　一、基于帳戶的安全策略

　　1、帳戶改名

　　Administrator和guest是Windows系統(tǒng)默認的系統(tǒng)帳戶，正因如此它們是最可能被利用，攻擊者通過破解密碼而登錄服務器。可以通過為其改名進行防范。

　　2、密碼策略

　　密碼策略作用于域帳戶或本地帳戶，其中就包含以下幾個方面：強制密碼歷史，密碼最長使用期限，密碼最短使用期限，密碼長度最小值，密碼必須符合復雜性要求，用可還原的加密來存儲密碼。

　　對于本地計算機的用戶帳戶，其密碼策略設置是在“本地安全設置”管理工個中進行的。

　　3、帳戶鎖定

　　當服務器帳戶密碼不夠安全時，非法用戶很容易通過多次重試“猜”出用戶密碼而登錄系統(tǒng)，存在很大的安全風險。那如何來防止黑客猜解或者爆破服務器密碼呢?

　　其實，要避免這一情況，通過組策略設置帳戶鎖定策略即可完美解決。此時當某一用戶嘗試登錄系統(tǒng)輸入錯誤密碼的次數達到一定閾值即自動將該帳戶鎖定，在帳戶鎖定期滿之前，該用戶將不可使用，除非管理員手動解除鎖定。

　　二、安全登錄系統(tǒng)

　　1、遠程桌面

　　遠程桌面是比較常用的遠程登錄方式，但是開啟“遠程桌面”就好像系統(tǒng)打開了一扇門，合法用戶可以進來，惡意用戶也可以進來，所以要做好安全措施。

　　(1).用戶限制

　　點擊“遠程桌面”下方的“選擇用戶”按鈕，然后在“遠程桌面用戶” 窗口中點擊“添加”按鈕輸入允許的用戶，或者通過“高級→立即查找”添加用戶。由于遠程登錄有一定的安全風險，管理員一定要嚴格控制可登錄的帳戶。

　　(2).更改端口

　　遠程桌面默認的連接端口是3389，攻擊者就可以通過該端口進行連接嘗試。因此，安全期間要修改該端口，原則是端口號一般是1024以后的端口，而且不容易被猜到。

　　2、telnet連接

　　網絡發(fā)展至今，他的高端我們都見識過，但是網絡安全也是一直以來不變的話題，怎樣能使網絡更加安全呢?如何構建一個安全的Web環(huán)境，是應該考慮的事情。該選擇哪些安全工具呢?我們可以再危險發(fā)生之前，先測試一下自己系統(tǒng)中的漏洞。為大家推薦10大Web漏洞掃描程序。

　　1. Nikto

　　這是一個開源的Web服務器掃描程序，它可以對Web服務器的多種項目進行全面的測試。其掃描項目和插件經常更新并且可以自動更新。Nikto可以在盡可能短的周期內測試你的Web服務器，這在其日志文件中相當明顯。不過，如果你想試驗一下，它也可以支持 LibWhisker的反IDS方法。不過，并非每一次檢查都可以找出一個安全問題，雖然多數情況下是這樣的。有一些項目是僅提供信息類型的檢查，這種檢查可以查找一些并不存在安全漏洞的項目，不過Web管理員或安全工程師們并不知道。

　　2. Paros proxy

　　這是一個對Web應用程序的漏洞進行評估的代理程序，即一個基于Java的web代理程序，可以評估Web應用程序的漏洞。它支持動態(tài)地編輯/查看 HTTP/HTTPS,從而改變cookies和表單字段等項目。它包括一個Web通信記錄程序，Web圈套程序，hash 計算器，還有一個可以測試常見的Web應用程序攻擊的掃描器。

　　3. WebScarab:

　　它可以分析使用HTTP和HTTPS協(xié)議進行通信的應用程序，WebScarab可以用最簡單地形式記錄它觀察的會話，并允許操作人員以各種方式觀查會話。如果你需要觀察一個基于HTTP(S)應用程序的運行狀態(tài)，那么WebScarabi就可以滿足你這種需要。不管是幫助開發(fā)人員調試其它方面的難題，還是允許安全專業(yè)人員識別漏洞，它都是一款不錯的工具。

　　4. WebInspect：

　　這是一款強大的Web應用程序掃描程序。SPI Dynamics的這款應用程序安全評估工具有助于確認Web應用中已知的和未知的漏洞。它還可以檢查一個Web服務器是否正確配置，并會嘗試一些常見的 Web攻擊，如參數注入、跨站腳本、目錄遍歷攻擊等等。

　　5. Whisker/libwhisker :

　　Libwhisker是一個Perla模塊，適合于HTTP測試。它可以針對許多已知的安全漏洞，測試HTTP服務器，特別是檢測危險CGI的存在。 Whisker是一個使用libwhisker的掃描程序。

　　6. Burpsuite：

　　這是一個可以用于攻擊Web應用程序的集成平臺。Burp套件允許一個攻擊者將人工的和自動的技術結合起來，以列舉、分析、攻擊Web應用程序，或利用這些程序的漏洞。各種各樣的burp工具協(xié)同工作，共享信息，并允許將一種工具發(fā)現(xiàn)的漏洞形成另外一種工具的基礎。

　　7. Wikto:

　　可以說這是一個Web服務器評估工具，它可以檢查Web服務器中的漏洞，并提供與Nikto一樣的很多功能，但增加了許多有趣的功能部分，如后端 miner和緊密的Google集成。它為MS.NET環(huán)境編寫，但用戶需要注冊才能下載其二進制文件和源代碼。

　　8. Acunetix Web Vulnerability Scanner :

　　這是一款商業(yè)級的Web漏洞掃描程序，它可以檢查Web應用程序中的漏洞，如SQL注入、跨站腳本攻擊、身份驗證頁上的弱口令長度等。它擁有一個操作方便的圖形用戶界面，并且能夠創(chuàng)建專業(yè)級的Web站點安全審核報告。

　　9. Watchfire AppScan：

　　這也是一款商業(yè)類的Web漏洞掃描程序。AppScan在應用程序的整個開發(fā)周期都提供安全測試，從而測試簡化了部件測試和開發(fā)早期的安全保證。它可以掃描許多常見的漏洞，如跨站腳本攻擊、HTTP響應拆分漏洞、參數篡改、隱式字段處理、后門/調試選項、緩沖區(qū)溢出等等。

　　10. N-Stealth：

　　N-Stealth是一款商業(yè)級的Web服務器安全掃描程序。它比一些免費的Web掃描程序，如Whisker/libwhisker、 Nikto等的升級頻率更高。還要注意，實際上所有通用的VA工具，如Nessus, ISS Internet Scanner, Retina, SAINT, Sara等都包含Web 掃描部件。N-Stealth主要為Windows平臺提供掃描，但并不提供源代碼。

　　telnet是命令行下的遠程登錄工具，因為是系統(tǒng)集成并且操作簡單，所以在服務器管理占有一席之地。因為它在網絡上用明文傳送口令和數據，別有用心的人非常容易就可以截獲這些口令和數據。而且，這些服務程序的安全驗證方式也是有其弱點的，就是很容易受到“中間人”(man-in-the-middle)這種方式的攻擊。，并且其默認的端口是23這是大家都知道的。因此我們需要加強telnet的安全性。

　　3、第三方軟件

　　可用來遠程控制的第三方工具軟件非常多，這些軟件一般都包括客戶端和服務器端兩部分，需要分別在兩邊都部署好，才能實現(xiàn)遠控控制。一般情況下，這些軟件被安全軟件定義為木馬或者后門，從而進行查殺。安全期間建議大家不要使用此類軟件，因為使用此類工具需要對安全軟件進行設置(排除、端口允許等)，另外，這類軟件也有可能被人植入木馬或者留有后門，大家在使用時一定要慎重。

【十大Web網站漏洞掃描程序】相關文章：

Web前端工作總結02-08

電腦安全設置減少黑客掃描與攻擊07-20

關于360自動漏洞修復怎么關閉09-22

電腦漏洞修復失敗怎么辦？10-10

電腦出現(xiàn)錯誤代碼KB3048070漏洞怎么修復11-27

web前端課程設計心得體會12-23

工作程序心得03-07

大學生web實訓心得體會04-25

web前端課程設計心得體會范文05-06

網站策劃書07-11