2024年6月3日发(作者:)
蜜全嘲啡
计冀机与鼹络创新生活
如何选择一款web漏洞扫描器
最好的web漏洞扫描器应该是
是,这些东西总是误导人。我绝不
给你一大堆错误漏洞,然后让你一
个一个的去检查。在这种情况下.
你就要手动进行渗透测试了——
web漏洞扫描器的目的在于减轻你
什么样的?
这个问题总是在web应用安
是说他们的做法是错误的,也不是
说他们做的不好。这些人的工作非
常有意义,他们能够帮助软件公司
全领域被提出。也总是没有人能给
出一个确切的答案。对一个人有用
的扫描器,别人那里就不好用了。
这是因为每个站点——现在称为
web应用——是不同的。一些扫描
器在PHP开发的站点上表现的比
提高web漏洞扫描器的质量水平.
但是就像前面提到的,你应该挑选
出适合自己站点的web漏洞扫描
的工作,使你更有效率——而不是
浪费你的时间。
如果一款扫描器报告大量的错
器。你会惊奇的发现在不同的站点
上每款扫描器的性能是多么的不
同。
误信息,很有可能问题出在配置
上。web漏洞扫描器是一种复杂的
软件系统,而且由于它们用在各种
各样的网络应用中。它们有大量的
较好,另一些扫描器在.NET搭建
的站点上表现的比较好,等等情
当使用者在测试/评估web漏
洞扫描器时,还有哪些建议需要他
们注意?
你通常要做的是首先对要测
况。而且,每个人的需求也不一样。
一
选择/配置项。一个外部测试可能
不会返回一个理想的结果,也许仅
仅稍微花点时间重新调整一下扫
些人只是需要扫描器做出一份
PCI DSS执行报告。一些人只是需
要能提供咨询服务,在做渗透测试
时能够给予帮助,因此他们需要一
个扫描器提供给他们关于测试目
标的尽可能多的信息以及利用扫
描器更顺利的进行手动渗透测试。
如何获知哪一款web漏洞扫
描器适合需要?
试的站点进行web应用安全测试
扫描。尤其是当你还对扫描器的功
用和目标站点所存在的缺陷一无
所知的情况下,这非常重要。一个
描器的设置,它就会返回100%正
确的结果。因此。在测试阶段就要
仔细检查配置信息,熟悉它们,来
更好的使用它们。
最后,很重要的一点。你也应
外部扫描可能会对你试着去扫描
的web应用注入恶意代码扰乱它
的操作执行。
该了解软件公司客服部门的工作
效率。web漏洞扫描器是功能复杂
的软件,用它去发现站点中的漏洞
最好的找到~款适合你的web
漏洞扫描器软件套装的方法是。当
你的站点出现问题的时候它能帮
首先,你需要理解的是扫描器
是如何工作的。web漏斗扫描器抓
取站点信息,找出所有站点中的相
关文件和可输入点,并对这些发现
的过程是漫长而艰辛的。一旦遇到
问题,你需要一个高效的技术服务
助你把站点变的安全。很多软件公
司开发出web漏洞扫描器.然后给
工程师来协助。如果这个客服部门
话费太长的时间去回应你的要求.
或者它只是简单的和你交流几句。
那就太晚了。攻击者找到漏洞的速
度比你想想的快多了。
这个问题也引出了另一个问
题——我们是否应该使用开源软
的对象目标发起大量的安全检查。
这个抓取的过程在扫描过程中是
至关重要的一步,因此你要确定
web漏洞扫描器能够抓取关于站点
你试用版的许可证。互联网上有很
多的安全测试站点,你可以使用
web漏洞扫描器测试这些站点以此
来评估这些扫描器,当然这些测试
站点是不会危害到有价值的东西
的,比如你自己的站点。
的所有对象和输入点。如果它不能
发现这些,安全扫描就不会得出正
确的结果,因为即使它能发现绝大
件?很多“炫技”的人——尤其是在
安全领域——在工作中总是使用开
你也能在互联网上找到很多
关于web漏洞扫描器的信息和他
部分的漏洞,但是只要漏掉一个,
而那个又恰巧是输人点或有用的
源程序。也许它能解决你工作中遇
到的问题,可是当你遇到不知如何
们的性能指标。经常会有一些web
安全研究机构和高校会在试验环
参数.黑客就会利用这个漏洞破坏
你的站点。
解决的问题的时候,你就要去它的
开源社区或者邮件列表组中寻求
答案了。这经常是没有答复,或者
是你在忙着收发邮件的过程中花
费了大量的时间才得到正确的解
境中测试这些扫描器,也会把他们
的研究成果写入白皮书发布到网
其次,你应该检查web漏洞扫
描器发现了多少实际存在的漏洞。
一
上或web安全杂志上。这些白皮书
和技术文章能够帮助你了解业界
顶尖的产品,只是不要把这些当做
个常见的错误行为是用户基于
web漏洞扫描器发现的错误作出决
定,而不去检查它们是不是误报漏
洞。你一定不希望一个扫描器误报
决方案,这期间你的站点一直处在
易被攻击的状态。
你购买的唯一决定因素。不幸的
《计算机与厨络》2011年第03、04期
解析临时文件的危害有哪些
Windo s或应用程序在运行时通 前就杜绝它呢,这样让病毒没地儿住, raw Intemet Files(默认为隐藏目录)你
常都会产生临时文件,虽然部分临时 它不就没活路了吗?答案是肯定的, 也可以通过这个操作查看:打开IE一工
文件在Windows或应用程序正常退 我们先来具体分析临时文件夹都在什 具一intemet选项一常规一设置。IE临时
出时会被自动删除,但由于Windows 么目录下。 文件夹里存放着我们最近浏览过的网
的不稳定.或者是因为程序功能的不XP系统里的三个临时文件夹: 页的内容。
完善,经常会有临时文件成为“漏网 1.系统临时文件夹 好了,知道了临时文件夹所在的
之鱼”。这样。随着时间的推移,临时 系统临时文件夹的路径:C:\Win一 目录,我们就可以控制它了,选择我的
文件逐渐堆积,占用的都是系统盘,dows\Temp此文件夹是Windows系统 电脑一控制面板一管理工具一本地安
以至于出现跟系统文件争地盘的情 用来转储临时文件的地方。一般地,使 全策略一软件限制策略一其它规则,
况.还会在C盘中产生大量的碎片, 用者多是系统服务类型的软件(如, 右侧区域将显示规则内容(里面的几条
影响系统的运行速度。临时文件中留 Exchange Server)。因此,此文件夹里的 规则千万不能动,否则可能导致系统
有我们使用电脑的记录,一不小心 文件是很少的。 崩溃)。点右键新建“新路径规则”,在
还可能会暴露隐私。所以需要及时清 2.用户帐户临时文件夹 “新路径规则”对话框的路径文本框中
理。 计算机用户帐户临时文件夹:c: 输入C:\Documents and Settings\ \Lo—
Windows将机器产生的临时文件\Documents and Settings\用户名(一般 cal Settings\,安全级别设置为“不允许
都放入临时文件夹中,临时文件夹中 为Administrator)\Local Settings\Temp 的”然后单击“确定”。用同样方法。
的文件不但占用系统资源,往往还是 目录下(默认为隐藏目录)Windows 9x 再新建“新路径规则”,输入c:\win-
病毒蒇身之处,临时文件夹的内容是 默认路径C:\WindowskTemp,Win—dows\Temp,安全级别设置为“不允许
可删除的。我们可以来个大小通吃,在dows 2000\XP\2003默认路径C:\Doc一 的”,再单击“确定”。这样临时文件就
开始菜单的运行窗口,输入%temp%, uments and Settings\当前用户名\LocM 会大大减少,相应的病毒也就被关到
然后点确定,在打开的窗口中可以看 Settingsktemp\。此文件夹是用户应用的 门外了。
到很多的临时文件,按下Ctra+A,选中 软件(如,winword)转储临时文件的地 看来只要我们处置得当,就可以
所有文件,然后通通删除掉,有些正在 方,目的在于临时调用与写入。 把临时文件带来的负面影响降到最
使用的文件是无法删除的.重启后再 3.IE临时文件夹 低,使用起电脑更加得心应手了。用鲁
删除。 IE临时文件夹:C:\Documents and 大师的“一键清理”能够清理你的临时
那么能不能在临时文件没产生之 Settings\用户名\Loc ̄Settings\Tempo一 文件。
有没有一款自动化的web漏 理解web应用是如何运用参数的, 数据共享就变的很麻烦。
洞扫描器来完全的保护我们的站 但是它永远不能发现应用中的缺 Web漏洞扫描器能帮助我们
点或是web应用? 陷。这也是我建议选择一款商业扫 修补漏洞吗?
我经常强调的是。自动化的漏 描器而不是开源产品的另一个原 当web漏洞扫描器发现漏洞
洞扫描常常要与人工渗透测试相 因。在开源产品中,你能够找到大 后。它会提供大量的技术细节帮助
结合。一款优秀的扫描器会使你的 量的不同工具来帮助你进行人工 用户理解和修复出现的问题。
工作变轻松,并且帮助提醒你关键 渗透测试,而在商业性web漏洞扫 很多时候。修补建议对一类漏
的对象或输入项。但是一些漏洞, 描器则会配套给你一系列的渗透 洞都有效——例如,通过过滤用户
自动化软件是发现不了的。一些漏 测试工具,比如fuzz工具,IqTTP编 对于漏洞对象的输入来修补一个
洞被称为逻辑性漏洞。例如,当你 辑器,snifer等等,能够帮助你减轻 跨站脚本漏洞。我的建议是不要仅
测试一个在线购物车功能时,手动 在手动渗透测试过程中面临的压 仅依赖于扫描器的安全建议信息。
设置“价格”参数为“免费”,消费 力。优点就是在一个单独的站点上 你应该更多的了解这个漏洞类别,
者就会免费得到这款商品。 制定的安全解决方案的数据可以 知道它的属性和修补方法。这样也
一
款自动化web漏洞扫描器 在不同的工具之间通用。当使用那 会帮助使用者和开发者下次能够
会很好的帮助你发现这个参数,并 些分散的工具的时候,工具之间的 据此问题写出更安全的代码。
/
2011年第03、04期《计算机与网络》
发布评论