个性化阅读
专注于IT技术分析
        找回密码
当前位置:srcmini > 网络安全技术 > 正文

扫描500多个安全漏洞以保护网站安全

2020-04-19 11:27:01 分类:网络安全技术 阅读(1085) 评论(0)

每天都有成千上万的网站被黑客入侵, 从而导致业务损失和声誉受损。 Sophos Labs在2013年发布了一份报告, 其中说每天有30, 000个网站被黑客入侵。

好大Web应用程序技术中存在多种类型的漏洞, 手动监视所有漏洞是不可能的, 并且容易发生人为错误。

你是否知道根据Acunetix的2015年Web App漏洞报告, 使用Acunetix Online Vulnerability Scanner扫描的Web应用程序中有46%包含高风险漏洞, 而87%是中风险漏洞?你可以在此处下载此报告。

acunetix漏洞报告

这就是为什么运行自动扫描以检测Web应用程序中的漏洞并提供可行报告的重要性。在本文中, 我将讨论如何使用Acunetix对500多个漏洞进行安全扫描, 其中PCI法规遵从性包括下面提到的漏洞之一。

  • XSS
  • SQL注入
  • SSL(POODLE, CRIE, HEARTBLEED)
  • DOS
  • 主机头攻击
  • 目录清单
  • XXE
  • SSRF

这样做的好处是, 你可以使用一个帐户扫描多个端点(下面列出)。这消除了必须使用多个软件的维护。

Web扫描–扫描任何网站, 无论使用什么技术和基于表单的身份验证来扫描受密码保护的区域。

网络扫描–扫描检测到的设备, 例如防火墙, 负载平衡器, 路由器, 通用协议的弱密码等。

因此, 让我们开始吧…

你可以通过两种方式使用Acunetix漏洞扫描程序。

  • 使用软件–你可以下载以在Windows操作系统上使用
  • 通过云–你可以创建一个在线帐户并执行扫描。

让我们开始创建一个在线帐户并进行探索。

  • 打开Internet浏览器并访问以下链接
http://www.acunetix.com/vulnerability-scanner/register-online-vulnerability-scanner/
  • 输入名称, 电子邮件, 密码, 然后单击注册
针灸注册
  • 你将收到一封电子邮件以确认该帐户
  • 确认后, 登录到OVS(在线漏洞扫描程序)
https://ovs.acunetix.com/#/login/
  • 你将看到”入门向导”。单击创建扫描目标
acunetix开始
  • 输入名称, 描述和IP / URL详细信息。如果你不想对你的网址执行扫描, 也可以选择他们的测试域。单击添加扫描目标
acunetix添加扫描目标
  • 你需要通过上传验证文件来确认目标的所有权。这是防止第三方对自己不拥有的Web应用程序执行扫描所必需的。
acunetix-verify-target
  • 所有权经过验证后, 你应该会看到一个绿色标记, 以”创建扫​​描目标”。
经acunetix验证
  • 现在该对目标发起扫描了。我们从信息中心点击”启动扫描”。
acunetix启动扫描
  • 单击你的目标的立即扫描按钮
acunetix立即扫描按钮
  • 你将获得扫描摘要, 你可以在其中自定义执行安全扫描的方式
acunetix扫描摘要
acunetix扫描摘要

Web漏洞扫描:

  • 全面扫描-检查整个漏洞数据库
  • CSRF –检查你是否可能成为跨站点请求伪造漏洞的受害者
  • 高风险–仅检查高风险物品
  • SQL注入–检查你的SQL调用是否可以注入并变得脆弱
  • 弱密码–检查弱密码
  • XSS –验证是否容易受到XSS攻击的快速方法
  • 不扫描–如果你要跳过Web扫描并仅执行网络。

根据你的要求, 你可以选择以上任一列表。现在, 我将继续进行全面扫描。

网络漏洞扫描:

  • 全面扫描-标记为安全检查, 我将在本文中继续进行。
  • 全面扫描包含侵入性检查–在工作时间内最好不要这样做, 因为这可能会影响性能, 或者在无法承受的情况下脱机。
  • 不扫描-如果你根本不想包括网络扫描。

报告:你可以使用PDF或RTF格式选择要用于此扫描的报告类型。

  • 我选择了PDF格式的执行摘要报告。
  • 单击启动扫描开始
针刺扫描排队

你将收到一条通知, 通知你扫描正在进行中, 完成后将收到一封电子邮件通知。

扫描后acunetix仪表板

需要一些时间才能完成。同时, 你可以等待完成通知电子邮件或单击”刷新”以查看状态。喝咖啡或在网络安全之前浏览我的文章。

实际上, 它花费了将近4个小时才能完成。嗯, 这很有意义, 因为它必须针对500多个漏洞进行验证。这是扫描完成后仪表板的外观。

acunetix保存的报告菜单

现在让我们看一下报告。如果你还记得的话, 在设置​​扫描时, 我选择了”执行摘要”, 现在可以查看该摘要。

  • 转到报告, 然后单击保存的报告
acunetix保存的报告
  • 你可以在此处下载PDF并查看报告。
acunetix执行摘要

噢, 天哪, 请看一下报告–我有很多事情要解决。

acunetix摘要报告

好的, 执行摘要未提供详细信息, 因此你必须生成另一种类型的报告。为此……

  • 转到报告, 然后单击生成报告
  • 选择目标并单击生成链接
acunetix生成报告
  • 选择报告的类型和格式, 然后单击”生成”
acunetix生成报告类型
  • 这将需要几秒钟, 并且可以在”已保存的报告”中下载。
acunetix保存的报告下载

现在, 是时候查看报告并修复漏洞发现了。你可以参考我的《针对Apache或Nginx的安全性和强化指南》, 该指南应有助于修复各种发现。

我希望这给你一个想法, 如何使用Acunetix执行漏洞扫描程序并保持你的Web应用程序安全。如果你喜欢这篇文章, 为什么不与你的朋友分享?

赞(0)
未经允许不得转载:srcmini » 扫描500多个安全漏洞以保护网站安全
标签:

相关推荐

评论 抢沙发

评论前必须登录!

 

猜你喜欢

热门标签

网站开发 (2587)WordPress开发 (2055)WordPress主题 (1517)Web开发 (692)主题 (527)数据科学 (444)教程合集 (317)资源合集 (316)函数 (287)页面 (267)python开发 (261)项目示例 (243)WordPress自定义页面 (233)图像 (219)错误 (213)网站 (189)UX设计 (187)Web安全 (179)模板 (178)Web运维 (177)应用程序 (177)WordPress插件 (176)插件 (171)前端开发 (166)算法 (150)woocommerce (149)数据结构 (149)常见问题 (142)设计 (138)原型设计 (138)