你的網站有多安全?

jopen 11年前發布 | 5K 次閱讀 安全

        安全問題威脅著所有 Web 應用程序和網站,其中 XSS(跨站腳本攻擊)、SQL 注入最為常見。開發者一旦忽視了這一方面,有可能會造成嚴重的后果。 

        開發者可通過 Punkspider 來檢測自己的 Web 應用程序(網站)中是否存在安全隱患。Punkspider 是一個全球性的 Web 應用程序漏洞掃描引擎,可以告知開發者某個 Web 應用或網站中存在的安全漏洞。該引擎的原理是,利用一個可擴展的 Hadoop 集群,使用許多并行蜘蛛腳本來掃描互聯網中數百萬的網站,然后根據輸入的 URL 來顯示結果。 

你的網站有多安全?

        研究人員在一個測試中,掃描了 50000 個域名后綴為“.de”的網站,其中發現 XSS 漏洞大約 50 個,SQL 注入漏洞 16 個,SQL 盲注(Blind SQL Injection)漏洞大約 120 個。在對 32,290 個域名后綴為“.co.uk”的網站掃描中,共檢測出 30 個 XSS 漏洞,2 個 SQL 注入漏洞,60 個 SQL 盲注漏洞。當然,不排除有些是誤報。 

        Punkspider 盡管可以幫助開發者掃描安全漏洞,但其公開結果的方式可能會導致更大的安全威脅——一些居心叵測的人可以找到大量的有用的網站漏洞信息,也引起了 Web 開發者的強烈不滿。Punkspider 集中了大量網站的安全漏洞數據,而這些漏洞信息都是未經網站所有者同意的情況下掃描的,是否存在法律問題還不得而知。 

        在掃描一些網站時,可能會顯示“沒有結果”,但不排除 Punkspider 未來會將這些網站加入掃描目標列表中。Web 開發者還無法從 Punkspider 的數據庫中刪除相關漏洞信息,只有修復這些安全漏洞。 

        對此,Punkspider 項目 CTO Alejandro Caceres 稱,該引擎還是會遵循 Web 應用程序中 robots.txt 中的相關說明。他同時表示,該項目還是利大于弊的,項目的目標是提醒企業 web 應用中存在這樣的漏洞,而且這是免費的,企業應該要求自己的開發者來修復它們。 

        Punkspider 地址:http://punkspider.hyperiongray.com/

來自: www.iteye.com
 本文由用戶 jopen 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。
 轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。
 本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!
  本文地址:http://www.baiduhome.net/news/view/a47bf0