本文概述
通过基于云的Web扫描程序, 可以先检测安全漏洞。
网络攻击正在增加, 预计到2019年将使全球业务损失2万亿美元。好消息是你可以通过使用正确的基础架构, 工具和技能来管理这种风险。
每天都有成千上万的在线业务受到攻击, 并且过去发生过一些最大的黑客/攻击。
- Dyn DDoS攻击–导致许多网站瘫痪, 包括Netflix, SoundCloud, Spotify, Twitter, PayPal, Reddit等。
- Dropbox骇客–数百万用户帐户遭到入侵
- 雅虎–数据泄露
- 勒索软件–许多勒索软件攻击
惠普最新的网络风险报告显示, 经过测试的应用程序中有35%至少具有一个严重或高度漏洞。
黑客使用多种技术来攻击Web应用程序, 因此你必须使用能够检测大量漏洞的扫描程序。为了获得持续的安全性, 你需要定期扫描你的网站, 因此你首先要了解任何弱点。
以下是基于云的网络漏洞扫描程序, 因此你无需在服务器上安装任何软件。
漏洞扫描器
- Acunetix
- Netspaker
- Detectify
- ImmuniWeb
- Qualys
- Fortify
- Scan My Server
- Hacker Target
Acunetix
Acunetix提供可从Windows运行的本地安全扫描程序以及基于云的扫描程序。 Acunetix可以在几乎所有类型的网站上爬网并扫描你的网站, 以查找3000多个漏洞。
Acunetix使用多线程快速搜寻器和扫描仪, 因此在扫描过程中不会中断你的Web操作。
如果你使用的是WordPress, 则它们具有独特的扫描功能, 可以检查1200多个插件和配置错误。
Acunetix会在扫描过程中分析网站代码/配置, 并在报告中指出具有可操作信息的漏洞。
Netspaker
Netsparker涵盖了大量安全检查, 包括:
- 源代码/数据库/堆栈跟踪/内部IP公开
- SQL注入
- XSS, DOM XSS
- 命令/盲命令/帧/远程代码/注入
- 本地文件包含
- 打开重定向
- 网络后门
- 凭证不足
如果你的网站受密码保护, 则必须指定URL, 凭据, 并且Netsparker将自动执行扫描所需的操作。
它是为企业打造的, 意味着你可以同时扫描数千个网站。 Netsparker还获得了Windows的桌面版本。
Detectify
Detectify检查你的网站上是否有500多个漏洞, 其中包括OWASP排名前10位的漏洞。你可以将Detectify集成到非生产环境中, 以便在生产之前知道并解决风险项目。
Detectify受到Trello, King, Trust Pilot, Book My Show, Pipedrive等数千家公司的信任。
你可以按需运行无限测试, 也可以定期安排扫描你的网站。扫描后, 你可以将报告导出为摘要或完整报告, 并且还可以选择集成以下内容。
- Slack, Pager Duty, Hip Chat –立即收到通知
- Trello –在Trello板上获得结果
- JIRA –只要发现问题就创建问题
- API –与你的API集成
- Zapier-通过zapier集成自动化工作流程
所有发现都列在仪表板中, 因此你可以深入到风险项目并采取必要的措施。
除了发现常见的Web漏洞外, Detectify还为WordPress, Joomla, Drupal和Magento提供CMS安全性。这意味着可以解决CMS的特定风险。
这段2分钟的快速视频将帮助你入门。
因此, 请继续研究并发现安全隐患, 然后再做黑客。你可以免费试用14天。
ImmuniWeb
ImmuniWeb Continuous是一个由机器学习提供支持的AI平台, 并通过可扩展的手动测试得到了增强。它针对OWASP排名前10位, PCI DSS, CWE / SANS排名前25位的漏洞和业务逻辑问题进行检查, 并提供零误报SLA。
你可以选择自定义测试范围。漏洞报告基于国际标准-CVE, CWE和CVSSv3。
借助ImmuniWeb, 你可以24×7全天候监控站点的安全性, 隐私和合规性。
Qualys
Qualys是最传统的安全平台之一, 它不仅提供Web扫描, 还提供以下解决方案套件:
- 恶意软件检测
- 威胁保护
- 持续监控
- 漏洞管理
- cPCI /政策合规
- Web应用防火墙
- 资产视图
但是, 在本文中, 将仅关注Web应用程序扫描(WAS)。
Qualys WAS是用于发现网站漏洞和配置错误的端到端扫描解决方案。你可以自动执行扫描, 并在发现风险时得到通知。
你可以利用动态深度扫描功能来指定网络IP范围, 并让Qualys发现Web资产。
并非所有漏洞都是严重漏洞或高风险漏洞, 因此你可以按严重性对它们进行优先级排序并采取相应措施。
你可以注册试用以探索Qualys WAS。
Fortify
HP Enterprise的按需强化是安全测试和漏洞管理平台。你可以通过五个步骤从集中式仪表板管理整个安全性。
你可以通过五个步骤从集中式仪表板管理完整的安全性。
- 发起
- 评估
- 报告
- 整治
- 重新测试
不仅基于Web的应用程序, 而且使用Fortify, 你也可以扫描Mobile应用程序。 Fortify为你提供详细的易于理解的报告。
- 扫描执行摘要
- 按等级和类别分类的问题
- OWASP Top 10的项目细分
- 按分析类型分类的项目
因此, 请勿忽略任何内容, 并使用Fortify on Demand测试所有内容。你可以免费试用它。
Scan My Server
“Scan My Server”由Beyond Security提供支持, 可为博客和网站提供免费的安全测试。如果你正在寻找免费的解决方案, 那将是最好的选择。
Scan My Server检查你的网站上是否存在许多漏洞, 包括:
- XSS
- 恶意软件
- SQL注入
- HTTP标头注入
你可以将扫描计划为每周或每月运行一次, 并通知你任何发现。漏洞摘要分为高, 中和低风险级别。
Hacker Target
Hacker Target与上面列出的不同。他们托管开源漏洞扫描程序, 并为你提供对你的网站进行扫描的功能。
他们有12种不同的扫描仪, 你可以在简单的会员计划下使用。如果你想使用开源扫描仪, 但又不想自己托管, 听起来很完美。
要找到漏洞, 以下提供的工具将很有用。
- Nikto –检查你的网站上是否有5000多个漏洞和配置错误, 这可能会带来风险。
- SSL注入测试–使用SQL映射工具针对HTTP GET请求进行测试。
- WhatWeb Scan –对Web服务器和用于构建Web应用程序的其他技术进行指纹识别。
上面列出的SaaS(软件即服务)与你的Web应用程序集成在一起, 以发现漏洞以实现持续的安全性。它们对于任何在线业务都是必不可少的, 因此你可以在有人利用这些弱点进行入侵之前将其修复。
如果你使用的是WordPress, Joomla, Magento, Drupal或任何Blogging CMS, 那么你可能有兴趣使用基于云的安全提供程序来保护你的网站免受在线威胁, 例如– Incapsula, CloudFlare, SUCURI等。
评论前必须登录!
注册