Tải bản đầy đủ (.pptx) (19 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Giới thiệu chi tiết một số tool scan website

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (418.5 KB, 19 trang )

Giới thiệu một số Tool scan website
A. Phạm vi & Mục đích
I.
Phạm vi:

Tìm hiểu 1 số Tool scan website
+ Bản thương mại hay mã nguồn mở
+ Môi trường sử dụng: Tools
+ 1 số tính năng cơ bản: Tools
+ Demo
II. Mục đích

Nhận biết được một số Tool có thể scan web

Làm tiền đề cho việc Scan web và nhận biết một số lỗi cơ bản của web từ đó đưa một số đánh giá tổng quan…

B. Nội dung
Một số Tool scan website thường được sử dụng
1. Nikto
2. Paros Proxy
3. WebScarab
4. WebInspect
5. Burpsuite
6. Wikto
7. Acunetix web
8. Watchfire AppScan
9. N-Stealth
10. Netsparker
11. Nessus
12. Fuzzing technical
2




Mã nguồn mở

Tính năng
- Kiểm tra máy chủ web (Scanner web server)
- Gồm 3200 phương thức nhận diện file, lỗi logic (gồm lỗi trên 230 web server khác nhau)
- Tính năng Scan + Plugins (được update tự động) sẽ đưa ra kết quả đầy đủ và chính xác nhất



Phần mềm thương mại, có bản free

Môi trường: Window, linux

Tính năng
- Kiểm tra lỗ hổng bảo mật của các ứng dụng web trên Proxy
- Hỗ trợ cho phép thay đổi/xem các gói tin HTTP/HTTPS và thay đổi chúng ở cookies
- Cho phép kiểm tra các ứng dụng có khả năng bị tấn công như lỗi SQL Injection và Cross-
site Scripting



Mã nguồn mở

Môi trường: Window

Tính năng
- Cho phép phân tích các ứng dụng dùng HTTP và HTTPS.
- WebScarab lưu các Request & Response để tái sử dụng trong các phiên làm việc

khác.
- Cho phép phát triển và sửa những lỗi khó , nhận biết lỗ hổng bảo mật trên các ứng
dụng được thiết kế & triển khai.





Phần mềm thương mại, có bản trial

Môi trường: Windows

Tính năng
- Một công cụ tìm kiếm lỗ hổng trên ứng dụng Web rất hiệu quả.
- Giúp kiểm tra cấu hình các Web Server, và cố gắng thử một vài dạng tấn công như
Prameter Injection, Cross-site Scripting, Directory Traversal.

!""

Free Edition & Professional Edition (299$/year)

Môi trường: Windows

Tính năng:
- Kết hợp với ứng dụng để tấn công ứng dụng Web.
- Tích hợp thao tác bằng tay + tự động để tấn công, phân tích và khai thác lỗ hổng bảo mật
web
#



Phần mềm thương mại, có bản free

Môi trường: Window

Tính năng
- Đánh giá mức độ bảo mật của máy chủ Web
- Kiểm tra các thiếu sót khi cấu hình máy chủ Web Server. Cho phép cung cấp nhiều module
khác nhau (eg. Back-End Function, Google Integration.
- Viết bằng công nghệ .NET của Microsoft
$
%"&'("))

Phần mềm thương mại, có bản trial

Môi trường: Windows

Tính năng
- Tìm kiếm các lỗ hổng bảo mật trên các ứng dụng Web.
- Acunetix WVS tự động kiểm tra các ứng dụng Web để tìm kiếm các lỗ hổng
bảo mật như SQL Injection, hay Cross-Site Scripting
- Tìm kiếm những chính sách đối với mật khẩu đăng nhập cũng như các
phương thức xác thực vào Web Site.
- Giao diện đồ họa thân thiện, Report đầy đủ
*
+,-'./011("2"3

#.4%

Phần mềm thương mại (14.000$)


Môi trường: Windows, Linux

Tính năng
- Tìm kiếm các lỗ hổng bảo mật trên các ứng dụng Web.
- Kiểm tra những ứng dụng được phát triển trên nền web
- Dễ dàng kiểm tra và phát hiện lỗ hổng và có thể kiểm
tra lỗ hổng bảo mật, như Cross-Site Scripting, HTTP
Response Spliting, và một vài dạng tấn công phổ biến
khác, phát hiện các Trojan và Backdoor đang tồn tại trên
máy chủ Web…

$5).

Phần mềm thương mại, có bản trial

Môi trường: windows

Tính năng
- Tìm kiếm các lỗ hổng bảo mật trên máy chủ Web.
- Phần mềm tự động update thường xuyên
- Phần mềm bao gồm hơn 30.000 lỗ hổng có thể Scan và khai thác trực tiếp
- Dễ dàng triển khai kết hợp với những Scan lỗ hổng bảo mật khác như: Nessus, ISS
Internet Scanner, Retina, SAINT…

*

Phần mềm thương mại, có bản trial

Hệ điều hành: Window


Tính năng

Xác định các lỗ hổng Web

Thời gian quét nhanh

Giao diện trực quan đơn giản

Độ linh hoạt kém



"

Phần mềm thương mại, có bạn Free

Môi trường: Linux, windows

Tính năng
- Là Tool quét lỗ hổng hàng đầu được nhiều đơn vị, tổ chức dùng
- CSDL các lỗ hổng được cập nhật liên tục
- Kiểm tra nội dung, kiểm tra tính tuân thủ
- Tùy chỉnh báo cáo
- Khả năng phát hiện các lỗ hổng nhanh
- Đánh giá theo chiều sâu…

+,-'(6"2./011.2((

78"9(:;2(&<.


Đề xuất
-
Tiếp tục nghiên cứu cách sử dụng và tính năng 1 số công cụ
-
Scan một số website bằng các công cụ khác nhau
-
Tìm hiểu một số lỗi mà kết quả scan đã đưa ra
-
Tìm hiểu về kỹ thuật Fuzzing
#
=>??@
=>%ABCDE
$

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×