Bạn ghé thăm diễn đàn lần đầu? hãy đăng ký ngay bây giờ để tham gia.
  • Đăng nhập:

Chào mừng bạn đến với ITVNN FORUM - Diễn đàn công nghệ thông tin.

Nếu đây là lần đầu tiên bạn tham gia diễn đàn, xin mời bạn xem phần Hỏi/Ðáp để biết cách dùng diễn đàn. Để có thể tham gia thảo luận bạn phải đăng ký làm thành viên, click vào đây để đăng ký.


  • Partner Area
kết quả từ 1 tới 1 trên 1
Tăng kích thước phông chữ Giảm kích thước phông chữ
  1. #1
    thaihihi007's Avatar

    Trạng thái
    Offline
    Tham gia ngày
    Jul 2018
    Thành viên thứ
    119830
    Tuổi
    24
    Giới tính
    Bài gởi
    7
    Level: 7 [?]
    Experience: 302
    Next Level: 443
    Cảm ơn 0
    Cảm ơn 0 lần / 0 Bài viết

    Default Top công cụ kiểm tra lỗ hổng website  

    Trong thời đại công nghệ số mỗi Doanh Nghiệp đều sở hữu có mình một Website để thể hiện được sản phẩm, dịch vụ hay thông tin công ty mình đến với cộng đồng. Chính vì vai trò quan trọng đó mà ngày nay các Website đang trở thành mục tiêu tấn công của các Hacker. Việc kiểm tra an ninh cho website là vô cùng quan trọng và cần thiết.
    Chống lại một cuộc tấn công từ hacker là một trong những trách nhiệm quan trọng nhất mà một quản trị viên hệ thống phải thực hiện. Điều này đặc biệt cần đối với các trang web có chứa thông tin khách hàng nhạy cảm và số lượng lớn người dùng. Vì vậy, điều quan trọng đối với một quản trị viên hệ thống là cần thực hiện các biện pháp chủ động để tìm và sửa chữa lỗ hổng trong các trang web của họ.
    Không nên nhầm lẫn giữa các chương trình mã nguồn mở với các chương trình miễn phí chúng hoàn toàn khác nhau. Mã nguồn mở là có kho mã nguồn về ứng dụng đó để người dùng có thể tùy biến theo nhiều kiểu khác nhau, có khi được phát triển thành ứng dụng bán lấy tiền có khi chia sẻ miễn phí nhưng tất cả đều phải công bố mã nguồn còn các ứng dụng miễn phí tất nhiên là free nhưng mã nguồn của nó thì chưa biết được.


    Zed Attack Proxy
    Đây là công cụ được phát triển bởi AWASP chạy được trên nền tảng Window, OSX, Unix, Linux. Đây là công cụ đơn giản và dễ sử dụng. Những tính năng của nó được liệt kê dưới đây:
    Intercepting Proxy
    Automatic Scanner
    Traditional but powerful spiders
    Fuzzer
    Web Socket Support
    Plug-n-hack support
    Authentication support
    REST based API
    Dynamic SSL certificates
    Smartcard and Client Digital Certificates support

    Grabber
    Là một máy quét lỗ hổng ứng dụng web các lỗ hổng mà nó có thể phát hiện:
    Cross site scripting
    SQL injection
    Ajax testing
    File inclusion
    JS source code analyzer
    Backup file check
    Công cụ này được đánh giá chạy khá nhanh với các website nhỏ và mất nhiều thời gian với các website lớn. Cộng cụ này phát triển bằng ngôn ngữ python và không cung cấp trình giao diện nào cho người dùng. Các bạn có thể tùy biến hay nghiên cứu mã nguồn của nó.


    Arachni
    Arachni là một công cụ mã nguồn mở được phát triển để cung cấp một môi trường thử nghiệm thâm nhập. Công cụ này có thể phát hiện các lỗ hổng bảo mật ứng dụng web khác nhau. Nó có thể phát hiện các lỗ hổng khác nhau như SQL Injection, XSS, Local File inclusion, remote file inclusion, unvalidated redirect và nhiều lỗ hổng khác.


    Skipfish
    Đây là công cụ viết bằng ngôn ngữ lập trình C. Nó được tối ưu để có thể chạy 2000 request mỗi giây mà không cần quá nhiều CPU máy tính nên tốc độ khá nhanh. Công cụ này được chạy trên các nền tảng: OSX, Linux, Window.

    Wapiti
    Đây cũng là một công cụ kiểm tra an ninh website tốt. Phương thức kiểm tra an ninh trên web của nó là quét các đường link và chèn giữ liệu test lên các đối tượng ( texbox...), nó hỗ trợ GET cà POST HTTP. Các lỗ hổng có thể được phát hiện bằng công cụ này:
    File Disclosure
    File inclusion
    Cross Site Scripting (XSS)
    Command execution detection
    CRLF Injection
    SEL Injection and Xpath Injection
    Weak .htaccess configuration
    Backup files disclosure
    Đây là công cụ sử dụng dòng lệnh để thao tác nên dành cho các chuyên gia với các bạn mới bắt đầu thì sẽ khó sử dụng




    Ratproxy
    Ratproxy cũng là một công cụ mã nguồn mở kiểm tra an ninh ứng dụng web. Nó hỗ trợ Linux, FreeBSD, MacOS X, và (Cygwin) môi trường Windows.
    Công cụ này được thiết kế để khắc phục những vấn đề người dùng thường gặp phải khi sử dụng các công cụ proxy khác để kiểm tra an ninh. Nó có khả năng phân biệt giữa css và mã JavaScript. Nó cũng hỗ trợ giao thức SSL khi kiểm tra an ninh, có nghĩa là bạn cũng có thể xem dữ liệu khi website chạy SSL.


    Vega
    Đây là công cụ phát triển dựa trên ngôn ngữ lập trình java có thể chạy trên nền tảng OSX, Window, Linux.
    Công cụ Vega có thể tìm kiếm các lỗ hổng SQL injection, header injection, directory listing, shell injection, cross site scripting, file inclusion và một số lỗ hổng ứng dụng web khác. Bạn có thể cài đặt số luồng quét tối đã mỗi giây khi bắt đầu kiểm tra 1 website.


    Qua bài viết này các bạn có thể biết thêm một số công cụ giúp tìm kiếm lỗ hổng an ninh website. Bài viết mình chỉ giới thiệu sơ qua về các công cụ trên hy vọng các bạn sẽ có các bài chi tiết giới thiệu tầng công cụ đó để mọi người cùng tìm hiểu.


    Nguồn: SecurityBox


 

Thread Information

Users Browsing this Thread

There are currently 1 users browsing this thread. (0 members and 1 guests)

Similar Threads

  1. Giới thiệu website TeamVnn.Net-website công nghệ thông tin
    By thienvuong47 in forum Giới thiệu website
    Trả lời: 0
    Bài mới gởi: 08-04-2011, 09:18 PM
  2. Trả lời: 8
    Bài mới gởi: 13-11-2010, 10:57 PM
  3. Flash full website Template 9782 - Movie Theatre Website Template Design
    By bavuongduongpho in forum Templates , Icons , Graphic Stuffs
    Trả lời: 0
    Bài mới gởi: 08-09-2009, 01:46 PM

Tags for this Thread

Bookmarks

Quuyền Hạn Của Bạn

  • Bạn không thể tạo chủ đề mới
  • Bạn không thể trả lời bài viết
  • Bạn không thể gửi file đính kèm
  • Bạn không thể chỉnh sửa bài viết
  •