每天都有成千上万的网站被黑客入侵, 从而导致业务损失和声誉受损。 Sophos Labs在2013年发布了一份报告, 其中说每天有30, 000个网站被黑客入侵。
好大Web应用程序技术中存在多种类型的漏洞, 手动监视所有漏洞是不可能的, 并且容易发生人为错误。
你是否知道根据Acunetix的2015年Web App漏洞报告, 使用Acunetix Online Vulnerability Scanner扫描的Web应用程序中有46%包含高风险漏洞, 而87%是中风险漏洞?你可以在此处下载此报告。
这就是为什么运行自动扫描以检测Web应用程序中的漏洞并提供可行报告的重要性。在本文中, 我将讨论如何使用Acunetix对500多个漏洞进行安全扫描, 其中PCI法规遵从性包括下面提到的漏洞之一。
- XSS
- SQL注入
- SSL(POODLE, CRIE, HEARTBLEED)
- DOS
- 主机头攻击
- 目录清单
- XXE
- SSRF
Web扫描–扫描任何网站, 无论使用什么技术和基于表单的身份验证来扫描受密码保护的区域。
网络扫描–扫描检测到的设备, 例如防火墙, 负载平衡器, 路由器, 通用协议的弱密码等。
因此, 让我们开始吧…
你可以通过两种方式使用Acunetix漏洞扫描程序。
- 使用软件–你可以下载以在Windows操作系统上使用
- 通过云–你可以创建一个在线帐户并执行扫描。
- 打开Internet浏览器并访问以下链接
http://www.acunetix.com/vulnerability-scanner/register-online-vulnerability-scanner/- 输入名称, 电子邮件, 密码, 然后单击注册
- 你将收到一封电子邮件以确认该帐户
- 确认后, 登录到OVS(在线漏洞扫描程序)
https://ovs.acunetix.com/#/login/- 你将看到” 入门向导” 。单击创建扫描目标
- 输入名称, 描述和IP / URL详细信息。如果你不想对你的网址执行扫描, 也可以选择他们的测试域。单击添加扫描目标
- 你需要通过上传验证文件来确认目标的所有权。这是防止第三方对自己不拥有的Web应用程序执行扫描所必需的。
- 所有权经过验证后, 你应该会看到一个绿色标记, 以” 创建扫??描目标” 。
- 现在该对目标发起扫描了。我们从信息中心点击” 启动扫描” 。
- 单击你的目标的立即扫描按钮
- 你将获得扫描摘要, 你可以在其中自定义执行安全扫描的方式
- 全面扫描-检查整个漏洞数据库
- CSRF –检查你是否可能成为跨站点请求伪造漏洞的受害者
- 高风险–仅检查高风险物品
- SQL注入–检查你的SQL调用是否可以注入并变得脆弱
- 弱密码–检查弱密码
- XSS –验证是否容易受到XSS攻击的快速方法
- 不扫描–如果你要跳过Web扫描并仅执行网络。
网络漏洞扫描:
- 全面扫描-标记为安全检查, 我将在本文中继续进行。
- 全面扫描包含侵入性检查–在工作时间内最好不要这样做, 因为这可能会影响性能, 或者在无法承受的情况下脱机。
- 不扫描-如果你根本不想包括网络扫描。
- 我选择了PDF格式的执行摘要报告。
- 单击启动扫描开始
实际上, 它花费了将近4个小时才能完成。嗯, 这很有意义, 因为它必须针对500多个漏洞进行验证。这是扫描完成后仪表板的外观。
- 转到报告, 然后单击保存的报告
- 你可以在此处下载PDF并查看报告。
- 转到报告, 然后单击生成报告
- 选择目标并单击生成链接
- 选择报告的类型和格式, 然后单击” 生成”
- 这将需要几秒钟, 并且可以在” 已保存的报告” 中下载。
我希望这给你一个想法, 如何使用Acunetix执行漏洞扫描程序并保持你的Web应用程序安全。如果你喜欢这篇文章, 为什么不与你的朋友分享?
推荐阅读
- R中的数组用法完全剖析
- WordPress安装中的前5个安全漏洞
- 13种最佳安全做法,以保护你的WordPress网站
- 顶级4高级WordPress安全插件和服务
- 防止安全威胁的8个WordPress WAF
- 使用X-Frame-Options和HTTPOnly Cookie保护WordPress
- 如何保护WordPress免受蛮力攻击()
- 5个加强和保护WordPress网站的实时提示
- 如何使用WPScan在WordPress网站上查找安全漏洞()