• 软件测试技术
  • 软件测试博客
  • 软件测试视频
  • 开源软件测试技术
  • 软件测试论坛
  • 软件测试沙龙
  • 软件测试资料下载
  • 软件测试杂志
  • 软件测试人才招聘
    暂时没有公告

字号: | 推荐给好友 上一篇 | 下一篇

防范网页挂马攻击 从对WEB站点进行安全测试开始

发布: 2009-5-04 15:01 | 作者: 网络转载 | 来源: 测试时代采编 | 查看: 234次 | 进入软件测试论坛讨论

领测软件测试网

 (3)Nikto

  Nikto是一款开放源代码、功能强大的WEB弱点扫描评估软件,它能对WEB服务器的多种安全项目进行测试,能在230多种服务器上扫描出2600多种有潜在危险的文件、CGI及其他问题。Nikto使用LibWhiske漏洞库,Nikto已成为WEB站点管理员必备的WEB安全检测工具之一。

  可以到http://www.cirt.net/网站上下载Nikto的最新版本。Nikto是基于PERL开发的程序,所以需要PERL环境。因此,当Nikto需要在Windows系统下使用时,要同时下载并安装ActiveStatePerl环境。当需要Nikto使用SSL的安全方式对WEB站点进行安全扫描时,还会用到Net::SSLeayPERL模式,此时必须保证系统中安装有OpenSSL。它们的具体安装和使用细节可以参考它们的帮助文档。

  另外,还有一个与Nikto相似的WEB弱点扫描工具Wikto,它不仅具有Nikto同样的功能,还提供GUI图形界面,但只能在Windows系统下运行。它可以到http://www.sensepost.com/research/wikto/下载。。

  (4)N-Stealth

  N-Stealth是ZMT公司出品的一款商业的WEB站点安全扫描软件,同时也有可以免费使用的版本,只是功能没有商业版本的多,漏洞库也不支持自动更新。我们可以到www.nstalker.com网站上下载它的最新版本,它可以在win98/ME/2000/XP/2003系统下运行。

图3 N-Stealth启动后的主界面

  (5)ISS Database Scanner

  ISS的数据库扫描器(DataBaseScanner)是一个针对数据库管理系统进行风险评估的检测工具。它可以自动识别数据库系统中各种潜在的安全问题,产生通俗易懂的报告来表示安全风险和弱点,并对违反和不遵循数据库安全策略的弱点和漏洞提出修改建议。

  Database Scanner 可以扫描的数据包括Microsoft SOL Server 6.x或7.x、SybaseAdaptive Server 11.x和Oracle 8i, 8.0或7.3。它能通过网络快速、方便地扫描数据库,去检查数据库中可能存在的安全漏洞,全面评估所有的安全漏洞和认证、授权、完整性方面的问题。

图4 Database Scanner的主界面

  除了上面介绍的安全扫描软件以外,还有一些软件也有可以用来进行安全检测工作,包括X-scan3.3、WebInject1.41和AcunetixWVSFree Edition,以及一款功能全面且性能强大的商业安全扫描软件ISS Internet Scanner等。

文章来源于领测软件测试网 https://www.ltesting.net/

43/4<1234>

关于领测软件测试网 | 领测软件测试网合作伙伴 | 广告服务 | 投稿指南 | 联系我们 | 网站地图 | 友情链接
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备10010545号-5
技术支持和业务联系:info@testage.com.cn 电话:010-51297073

软件测试 | 领测国际ISTQBISTQB官网TMMiTMMi认证国际软件测试工程师认证领测软件测试网