你的网站有多安全?

标签: 网站 安全 | 发表时间:2013-02-26 16:27 | 作者:
出处:http://news.cnblogs.com/

安全问题威胁着所有 Web 应用程序和网站,其中 XSS(跨站脚本攻击)、SQL 注入最为常见。开发者一旦忽视了这一方面,有可能会造成严重的后果。 

开发者可通过 Punkspider 来检测自己的 Web 应用程序(网站)中是否存在安全隐患。Punkspider 是一个全球性的 Web 应用程序漏洞扫描引擎,可以告知开发者某个 Web 应用或网站中存在的安全漏洞。该引擎的原理是,利用一个可扩展的 Hadoop 集群,使用许多并行蜘蛛脚本来扫描互联网中数百万的网站,然后根据输入的 URL 来显示结果。 

研究人员在一个测试中,扫描了 50000 个域名后缀为“.de”的网站,其中发现 XSS 漏洞大约 50 个,SQL 注入漏洞 16 个,SQL 盲注(Blind SQL Injection)漏洞大约 120 个。在对 32,290 个域名后缀为“.co.uk”的网站扫描中,共检测出 30 个 XSS 漏洞,2 个 SQL 注入漏洞,60 个 SQL 盲注漏洞。当然,不排除有些是误报。 

Punkspider 尽管可以帮助开发者扫描安全漏洞,但其公开结果的方式可能会导致更大的安全威胁——一些居心叵测的人可以找到大量的有用的网站漏洞信息,也引起了 Web 开发者的强烈不满。Punkspider 集中了大量网站的安全漏洞数据,而这些漏洞信息都是未经网站所有者同意的情况下扫描的,是否存在法律问题还不得而知。 

在扫描一些网站时,可能会显示“没有结果”,但不排除 Punkspider 未来会将这些网站加入扫描目标列表中。Web 开发者还无法从 Punkspider 的数据库中删除相关漏洞信息,只有修复这些安全漏洞。 

对此, Punkspider 项目 CTO Alejandro Caceres 称,该引擎还是会遵循 Web 应用程序中 robots.txt 中的相关说明。他同时表示,该项目还是利大于弊的,项目的目标是提醒企业 web 应用中存在这样的漏洞,而且这是免费的,企业应该要求自己的开发者来修复它们。 

Punkspider 地址: http://punkspider.hyperiongray.com/

本文链接

相关 [网站 安全] 推荐:

站长的网站安全保护

- zou guangxian - Google 黑板报 - Google (谷歌)中国的博客网志,走近我们的产品、技术和文化
发表者:Gary Illyes,Webmaster趋势分析师(Trends Analyst). 原 文:Website Security for Webmasters. 发布时间:2011年5月19日 下午 03:58:00. 用户们都被教育通过安装复杂的杀毒软件来保护自己免受恶意程序的侵扰,但是通常他们还可能将私人信息委托给您这样的网站,这时保护他们的数据就变得十分重要.

你的网站有多安全?

- - 博客园_新闻
安全问题威胁着所有 Web 应用程序和网站,其中 XSS(跨站脚本攻击)、SQL 注入最为常见. 开发者一旦忽视了这一方面,有可能会造成严重的后果. 开发者可通过 Punkspider 来检测自己的 Web 应用程序(网站)中是否存在安全隐患. Punkspider 是一个全球性的 Web 应用程序漏洞扫描引擎,可以告知开发者某个 Web 应用或网站中存在的安全漏洞.

网站安全之——sql注入

- - 互联网 - ITeye博客
转自:http://baike.baidu.com/view/3896.htm. SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统.

P2P网站应用安全报告

- - WooYun知识库
有关e租宝公司被调查的新闻在微博、朋友圈被引爆刷屏. 许多人看中P2P理财的高收益,却忽视其中的风险. 猎豹移动安全实验室监测发现,P2P网站已成钓鱼欺诈网站的重灾区,大量P2P手机理财软件也存在安全隐患. 网民须小心选择P2P类理财产品. P2P网贷在2007开始传入国内,2015年呈现爆发态势,成交规模已进入万亿元时代.

网站安全检测:推荐8款免费的Web安全测试工具

- - 互联网的那点事
随着 Web 应用越来越广泛,Web 安全威胁日益凸显. 黑客利用网站操作系统的漏洞和  Web 服务程序的 SQL 注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害. 这也使得越来越多的用户关注应用层的安全问题,对 Web 应用安全的关注度也逐渐升温.

CSDN数据库泄露!那些网站够安全吗?

- - 死理性派 - 果壳网
CSDN 社区网站数据库泄露 ,近 600 万用户真实账号密码外泄. 该事件横扫整个中文互联网,并且随后又爆出. 多玩游戏 800 万用户资料被泄露 ,另有传言人人网、开心网、天涯社区、世纪佳缘、百合网等社区都有可能成为黑客下一个目标. 一时间人人自危,更换密码者无数. 为什么一瞬间就有这么多密码被轻易获取,而一般的网站又是如何保护用户密码的.

读书笔记:网站架构之安全篇

- - CSDN博客架构设计推荐文章
PS:本文为《大型网站技术架构 & 核心原理与案例分析(李智慧 著)》一书的读书笔记. *:全球约70%的Web应用攻击来自XSS攻击和SQL注入,此外还包括CSRF,Session劫持等. 1、XSS攻击:跨站点脚本攻击(Cross Site Script). *:黑客通过在网页文件嵌入恶意JavaScript脚本,在用户打开网页时,该脚本控制浏览器进行恶意操作.

WordPress主题后门严重威胁网站安全

- - 阿里云产品博客
WordPress是国内站长非常喜欢采用的一款建站应用软件,由于其具有非常丰富的模版和插件,具有良好的可扩展性. 特别对于博客类网站,WordPress几乎成为建站首选. 在阿里云安全团队的日常运营中,我们发现,WordPress一直是黑客攻击的主要目标. 下图是阿里云云盾安全运营团队对第三方应用遭受攻击的统计(Source:第27期阿里云云盾安全运营报告,http://security.aliyun.com/doc/view/13762631.html):.

安全科普:利用WireShark破解网站密码

- - 氪星人
当我们输入账号、密码登录一个网站时,如果网站允许你使用HTTP(明文)进行身份验证,那么此时捕获通信流量非常简单,我们完全可以对捕获到的流量进行分析以获取登录账号和密码. 这种方法不仅适用于局域网,甚至还适用于互联网. 这就意味着,攻击者将可以破解任何使用HTTP协议进行身份验证的网站密码. 在局域网内要做到这一点很容易,这不禁使你惊讶HTTP是有多么的不安全.

关于 Web 安全,99% 的网站都忽略了这些

- - SegmentFault 最新的文章
野狗科技联合创始人,先后在猫扑、百度、搜狗任职. 技术栈较广,曾经致力于数据分析,异常检测领域,通过数学模型和机器学习解决用户输入和搜索广告中的反作弊难题. 也曾做过java开发,熟悉从网络到前端的全部技术. 公众订阅号:wilddogbaas. Web安全是一个如何强调都不为过的事情,我们发现国内的众多网站都没有实现全站https,对于其他安全策略的实践更是很少,本文的目的并非讨论安全和攻击的细节,而是从策略的角度引发对安全的思考和重视.