iT邦幫忙

2017 iT 邦幫忙鐵人賽
DAY 7
1
Security

資安x系統x絕對領域系列 第 8

[Day06]弱點掃描x概念x工具

本週的工作項目也是弱點掃描週!
首先,我們要建置一個 VM,然後再開始我們的弱點掃描!
//VM 髒掉了可以馬上換新噠,而且VM可以放著掃不影響本機作業。

[弱點掃瞄說明]

透過弱點掃瞄可以試著去觀察我們的網站應用程式是否有弱點。
當攻擊者來攻擊的時候,就能利用這些弱點順利的攻擊到我們的系統,去做一些未授權的可怕事項。
而且定期做弱點掃描,能將更新的弱點提供給開發者或資安稽核,確保網站應用程式的安全。
掃瞄結果給使用者參考,同時對系統漏洞作出相對建議的應變措施。

另外,由於此類軟體皆會偵測並嘗試與遠端主機建立連線。
因此,在未經對方同意下,應儘量避免隨意使用此類軟體掃瞄網路上的主機,造成不必要之困擾。

[弱點掃描項目]

弱點掃描包含了:探測主機狀態、網路埠的狀態、作業系統類型、系統服務及應用程式類型、弱點檢測等…

[手動弱點掃瞄工具]

通常掃描80、443、8080 port 來做攻擊或直接用工具去驗證走哪些Port。
NMAP:http://nmap.org/
SuperScan:http://www.mcafee.com/tw/downloads/freetools/superscan.aspx
hping
PortScan Plus
Strobe
NetScan Tools Pro
ISS Nerwork Scanner
Foundstone FoundScan

[自動弱點掃瞄工具]

真心覺得商用工具真的很省事兒 =v=+
另外,掃瞄結果是依據更新弱點狀況而定;若遲遲未更新,那麼掃瞄結果也是會跟其他掃描出來的結果有落差。

[Free]

  • Nikto
  • Wikto
  • Jsky
  • Skipfish
  • Scrawlr(Only scan SQL Injection from HP)

[Commercial]

  • Acunetix(Web Vulnerability Scanner)
  • IBM AppScan
  • HP WebInspect //金融業產業較多
  • N-Stalker(Web Application Security Scanner)
  • Nessus
  • OpenVAS

試玩網點


上一篇
[Day05]原始碼檢測x弱點修補X驗證攻擊-Cross site scripting
下一篇
[Day04]原始碼檢測x弱點修補X驗證攻擊-File Upload
系列文
資安x系統x絕對領域47

1 則留言

0
savesafe000
iT邦新手 5 級 ‧ 2018-04-24 17:41:39

網站弱點掃描還有一個全中文的介面與報告: O-Scan下載

我要留言

立即登入留言