網(wǎng)站漏洞掃描工具--Safe3 Web Vul Scanner功能展示

1、網(wǎng)站漏洞掃描工具-Safe3 Web Vul Scanner功能展示好幾個(gè)朋友和我說過Safe3 Web Vul Scanner了，前一段時(shí)間作者也加了游俠的QQ，聊了下，并給我注冊(cè)了個(gè)Safe3 WVS，看了下功能不錯(cuò)。為了說明其功能，我在這里掃描個(gè)不大不小的站吧，設(shè)置參數(shù)，點(diǎn)菜單“Setting”：·Scanning Threads：默認(rèn)值是10。掃描的線程，值越大掃描速度越快，當(dāng)然占用主機(jī)資源越多。不過以游俠自己的測(cè)試，即使是改成30，對(duì)資源的占用也完全可以接受。·Scanning Depth：默認(rèn)值是6。掃描深度，當(dāng)然越大越慢，但是掃描的越精細(xì)。·Scan

2、ning Diff：默認(rèn)值是10。參數(shù)越小漏報(bào)越少，誤報(bào)越多。這里游俠就用默認(rèn)參數(shù)掃描，只要在主界面輸入網(wǎng)址就OK了，這也是掃描多數(shù)網(wǎng)站最簡(jiǎn)單的方式，不用輸入其它的。當(dāng)然在這里簡(jiǎn)單解釋下Authentication部分的幾個(gè)選項(xiàng)：·None：無認(rèn)證狀態(tài)·Basic：基本認(rèn)證·Digest：摘要式身份認(rèn)證·NTLM身份驗(yàn)證一般來說，None就差不多了，當(dāng)然這個(gè)按照實(shí)際需求去選擇，如果您有更詳細(xì)的，就選擇更詳細(xì)的認(rèn)證方式，這樣掃描的結(jié)果更精準(zhǔn)。有一點(diǎn)讓游俠激動(dòng)，就是：Safe3 WVS的掃描速度相當(dāng)快！出乎意料的，不像前一段在本站說到的一些掃描工具（請(qǐng)參考：

3、<a target="_blank" href="http:/2010/04/Top-10-Web-Application-Security-Scanner.html">最受歡迎的十大WEB應(yīng)用安全評(píng)估系統(tǒng)、<a target="_blank" href="http:/2010/01/Web-App-Security-Scanner.html">WEB應(yīng)用安全掃描產(chǎn)品概述），它的掃描速度簡(jiǎn)直可以用“飛速”來形容！掃描完畢會(huì)自動(dòng)生成報(bào)告，報(bào)告有詳細(xì)的漏洞級(jí)別和URL。Safe3 WVS相當(dāng)適合

4、在網(wǎng)站初次評(píng)估時(shí)候的快速測(cè)試。如果你的參數(shù)設(shè)置合適，Safe3 WVS無疑是很出色的一款WEB安全漏洞評(píng)估工具。下面是來自Safe3官方對(duì)WVS的介紹：Safe3 Web Vul Scanner 是保護(hù)傘網(wǎng)絡(luò)推出的網(wǎng)站安全性檢測(cè)工具，傳統(tǒng)的方法往往依靠滲透測(cè)試（黑箱、白箱和灰箱測(cè)試），這往往局限于測(cè)試人員的技術(shù)水準(zhǔn)高低。目前，大多是采用一系列已知攻擊手段進(jìn)行手工檢測(cè)，且工作量巨大，由于時(shí)間關(guān)系以及各類網(wǎng)站系統(tǒng)的復(fù)雜性程度不同，通常得不到真正有效的評(píng)估，國(guó)內(nèi)能從事此類工作的技術(shù)人員往往較少，用戶最終得到的評(píng)估報(bào)告往往僅是找到幾個(gè)系統(tǒng)已知漏洞、某個(gè)注入點(diǎn)或者跨站腳本攻擊漏洞等常規(guī)漏洞。由于評(píng)估人員

5、的知識(shí)面局限性使得整體評(píng)估不夠全面，且深度不足。網(wǎng)站的應(yīng)用逐步增多，更新較快，每隔一段時(shí)間應(yīng)做一次全面檢測(cè)，若采用傳統(tǒng)滲透測(cè)試方法，花費(fèi)昂貴，且往往得不到真正意義上的風(fēng)險(xiǎn)報(bào)告。Safe3 Web Vul Scanner使用較為領(lǐng)先的智能化爬蟲技術(shù)及SQL注入狀態(tài)檢測(cè)技術(shù)，使得相比國(guó)內(nèi)外同類產(chǎn)品智能化程度更高，速度更快，結(jié)果更準(zhǔn)確。系統(tǒng)適用領(lǐng)域：國(guó)內(nèi)金融、證券、銀行、電子政務(wù)、電子商務(wù)、教育、網(wǎng)游、綜合行業(yè)門戶、IDC等網(wǎng)站必備檢測(cè)工具。技術(shù)優(yōu)勢(shì)：SQL注入網(wǎng)頁抓取網(wǎng)頁抓取模塊采用廣度優(yōu)先爬蟲技術(shù)以及網(wǎng)站目錄還原技術(shù)。廣度優(yōu)先的爬蟲技術(shù)的不會(huì)產(chǎn)生爬蟲陷入的問題，可自定義爬行深度和爬行線程，網(wǎng)站目錄還原技術(shù)則去除了無關(guān)結(jié)果，提高抓取效率。并且去掉了參數(shù)重復(fù)的注入頁面，使得效率和可觀性有了很大提高。SQL注入狀態(tài)掃描技術(shù)不同于傳統(tǒng)的針對(duì)錯(cuò)誤反饋判斷是否存在注入漏洞的方式，而采用狀態(tài)檢測(cè)來判斷。所謂狀態(tài)檢測(cè)，即：針對(duì)某一鏈接輸入不同的參數(shù)，通過對(duì)網(wǎng)站反饋的結(jié)果使用向量比較算法進(jìn)行比對(duì)判斷，從而確定該鏈接是否為注入點(diǎn)，此方法不依賴于特定的數(shù)據(jù)庫(kù)類型、設(shè)置以及CGI語言的種類，對(duì)于注入點(diǎn)檢測(cè)全面，不會(huì)產(chǎn)生漏報(bào)現(xiàn)象。并且具備一定的繞過IDS檢測(cè)功能，掃描到隱藏的注入點(diǎn)。特色：全面的數(shù)據(jù)庫(kù)，目前支持mssql，mysql和o