Tôi làm cách nào để kiểm tra bảo mật trang web miễn phí?

Question

Tôi đã nghe nói rằng có một số ứng dụng miễn phí sẽ kiểm tra lỗ hổng của một trang web PHP, nhưng tôi không biết phải sử dụng cái gì. Tôi muốn một chương trình miễn phí (tốt nhất là với một GUI) cho Windows sẽ phân tích trang web của tôi một báo cáo cho tôi.

Bất kỳ ai biết giải pháp?

Answer 1

Chỉ có một số lỗ hổng bảo mật nhất định mà bạn có thể kiểm tra với bất kỳ chương trình nào. Bạn có thể kiểm tra cấu hình PHP, cấu hình Apache, mật khẩu, lỗi phổ biến, v.v. nhưng bạn thực sự không thể kiểm tra các lỗi logic có thể gây ra lỗ hổng bảo mật.

Đặt cược tốt nhất của bạn sẽ là xem xét kỹ lưỡng mã của trang web. Hoặc, tốt hơn, có một số người khác làm một đánh giá mã toàn diện của trang web, tìm kiếm lỗ hổng bảo mật.

Answer 2

Top 10 Web Vulnerability Scanners từ Insecure.org (danh sách từ năm 2006). Số một của họ, Nikto2, có thể được tìm thấy here.

Answer 3

Tôi hơi muộn một chút, nhưng vì bạn đã yêu cầu các máy quét dễ sử dụng và không kỹ thuật, hãy xem Golem Technologies website security scanner - quá trình quét hoàn toàn không miễn phí, nhưng chúng có bản trình diễn quét mà kiểm tra khoảng 10% của một trang web và sẽ bắt được rất nhiều lỗ hổng phổ biến.

Answer 4

Netsparker Community Edition thực hiện điều đó và hoàn toàn miễn phí (GUI + Windows).

Answer 5

Đây là một khác, nhưng như đã nói trước đây, không có gì nhịp đập một con mắt giao chuyên nghiệp:

http://www.websitedefender.com

Answer 6

thời gian gần đây tôi thấy Detectify mà dường như để thực hiện một quét đàng hoàng và có đẹp UI. Họ làm việc trên cơ sở quyên góp có nghĩa là bạn nên quyết định số tiền bạn có thể chi tiêu.

Chúng tôi bao gồm OWASP Top 10 Điều đó có nghĩa chúng ta tìm thấy một loạt các sai sót, bao gồm SQL, LDAP, XPATH và tiêm NoSQL, lỗ hổng Cross Site Scripting, quản lý phiên bị hỏng, mã từ xa và thực hiện lệnh vv