pptp vpn是什么?具体有什么优缺点?
点对点隧道协议(PPTP)是Microsoft最早的协议之一。它是所有VPN协议中最快的。对于速度至关重要的应用(例如流媒体和游戏),它是理想的选择。但是,PPTP由于其弱加密而没有那么安全。
如果您使用的是WordPress,那么SUCURI的另一份报告显示,超过70%的扫描网站感染了一个或多个漏洞。
作为Web应用程序所有者,您如何确保您的站点免受在线威胁的侵害?不泄漏敏感信息吗?
如果您使用的是基于云的安全解决方案,则最有可能定期进行漏洞扫描是该计划的一部分。但是,如果没有,则必须执行例行扫描并采取必要的措施来减轻风险。
扫描仪有两种类型。
商业版–为您提供自动扫描的选项,以实现持续的安全性,报告,警报,详细的缓解说明等。行业中一些知名的名称是:
Acunetix
侦查
Qualys
开源/免费-您可以按需下载并执行安全扫描。并非所有这些漏洞都能像商业漏洞一样涵盖广泛的漏洞。
让我们检查一下以下开源Web漏洞扫描程序。
1.Arachni
Arachni,一种基于Ruby框架的高性能安全扫描程序,用于现代Web应用程序。它适用于Mac,Windows和Linux的可移植二进制文件。
不仅是基本的静态网站或CMS网站,Arachni还能跟踪以下平台指纹。它同时执行主动和被动检查。
Windows,Solaris,Linux,BSD,Unix
Nginx,Apache,Tomcat,IIS,码头
Java,Ruby,Python,ASP,PHP
Django,Rails,CherryPy,CakePHP,ASP.NET MVC,Symfony
一些漏洞检测包括:
NoSQL / Blind / SQL / Code / LDAP / Command / XPath注入
跨站点伪造
路径遍历
本地/远程文件包含
响应拆分
跨站脚本
未经验证的DOM重定向
源代码公开
您可以选择以HTML,XML,Text,JSON,YAML等格式生成审核报告。
Arachni使您可以利用插件将扫描范围扩展到一个新的水平。查看完整的Arachni功能并下载以体验它。
2.XssPy
许多组织(包括Microsoft,Stanford,Motorola,Informatica等)都使用基于python的XSS(跨站点脚本)漏洞扫描程序。
FaizanAhmad的XssPy是一个智能工具。它做得很好。不仅检查主页或给定页面,还检查网站上的整个链接。
XssPy还会检查子域,因此不会遗漏任何内容。
3.w3af
w3af是一个始于2006年末的开源项目,由Python支持,可在Linux和Windows OS上使用。w3af可以检测到200多个漏洞,其中包括OWASP前10名。
w3af允许您将有效负载注入标头,URL,cookie,查询字符串,后数据等,以利用Web应用程序进行审计。它支持各种日志记录方法进行报告。例如:
例如:
CSV
的HTML
安慰
文本
XML格式
电子邮件
它基于插件架构构建,您可以在此处查看所有可用的插件。
4.Nikto
由Netsparker赞助的一个开源项目旨在发现Web服务器配置错误,插件和Web漏洞。Nikto对超过6500个风险项目进行了全面测试。
它支持HTTP代理,SSL或NTLM身份验证等,并且可以定义每次目标扫描的最大执行时间。
Nikto也可以在Kali Linux中使用。
Intranet解决方案发现Web服务器安全风险看起来很有希望。
5.Wfuzz
Wfuzz(Web Fuzzer)是用于渗透测试的应用程序评估工具。您可以对任何字段的HTTP请求中的数据进行模糊处理,以利用Web应用程序并审核Web应用程序。
Wfuzz要求在要从中运行扫描的计算机上安装Python。它提供了出色的文档供您入门。
6.OWASP ZAP
ZAP(Zet攻击代理)是著名的渗透测试工具之一,已被全球数百名志愿者积极更新。
这是一个基于Java的跨平台工具,甚至可以在Raspberry Pi上运行。ZIP位于浏览器和Web应用程序之间,用于拦截和检查消息
以下一些值得一提的是ZAP的功能。
模糊器
自动和被动扫描仪
支持多种脚本语言
强制浏览
我强烈建议您查看OWASP ZAP教程视频以开始使用。
7.Wapiti
Wapiti扫描给定目标的网页,并查找脚本和表单以注入数据以查看是否容易受到攻击。它不是源代码安全检查;它不是源代码安全检查。而是执行黑盒扫描。
它支持GET和POST HTTP方法,HTTP和HTTPS代理,多种身份验证等。
8.Vega
Vega由Subgraph开发,Subgraph是一种用Java编写的多平台支持工具,用于查找XSS,SQLi,RFI和许多其他漏洞。
Vega拥有出色的GUI,并且能够通过使用给定凭据登录到应用程序来执行自动扫描。
如果您是开发人员,则可以利用vega API创建新的攻击模块。
9.SQL映射
顾名思义,借助于sqlmap,您可以对数据库执行渗透测试以发现缺陷。
它可以在任何操作系统上与Python 2.6或2.7一起使用。如果要查找SQL注入并利用数据库,则sqlmap将很有帮助。
10.Grabber
这是一个基于Python的小型工具,在某些方面做得很好。Grabber的一些功能包括:
JavaScript源代码分析器
跨站点脚本编写,SQL注入,盲SQL注入
使用PHP-SAT的PHP应用程序测试
11.Golismero
一个框架,用于管理和运行一些流行的安全工具,例如Wfuzz,DNS侦查,sqlmap,OpenVas,机械手分析器等)。
Golismero很聪明;它可以合并来自其他工具的测试反馈并合并以显示单个结果。
12OWASP Xenotix XSS
OWASP的Xenotix XSS是一个高级框架,用于查找和利用跨站点脚本。它内置了三个智能模糊器,可以快速扫描并改善结果。
它具有数百种功能,您可以在此处查看所有列出的功能。
Web安全对于在线业务至关重要,我希望上面列出的免费/开源漏洞扫描程序可以帮助您发现风险,以便在有人利用它之前减轻风险。
本文由:CHANDAN KUMAR原创,云小编整合翻译!