现在市面上的扫描软件五花八门,可总结为两种
1. 客户端软件(如wvs, nessus., metaspolit..)
2. B/S方式的 (像360的在线扫描,知道创宇...)
先说客户端式的吧,有开发公司负责插件的更新。收费的占很大一部分
就扫描效果来说,比较全面,不管什么网站,反正扫描完,像wvs这样的,报告导出得好几M,不得不说
算是老大级别的, 但针对性呢?国内的安全现状适应吗?,用的人想必比我还清楚,用他来做报告,应付
工作算是个神器了,你想自己开发插件呢,怎么办?别说没有这样的人,我就是其中之一。
说说B/S端的,提供的服务可以说是多方面的,网站监控了,挂马提醒了,可以说是站长不错的选择,对专业安全爱好者来说,没有太大实际作用,可定制性差。可控性差,不灵活。
所以,一种结合客户端和B/S端的扫描平台诞生了
如果你是网络安全爱好者,你是疯狂的码农,你是站长??,都可以满足你们其中一个共性的要求,对网站的360度扫描,不是普通意义上的扫描,你可以使用别人共享的插件,也可以自己编码插件共享给别人, 你可以对插件的性能,效果在线做评论或者提点意见, 如果你是几十个站的站长,你可以自架节点,一个或者多个,都可以,集群扫描。任你发挥。如果发现有高危漏洞的网站,为了不必要的法律风险,必须验证后,才可以查看详细漏洞,先扫描,后修复。
如果你懂一点编程,想共享一些安全漏洞,可以通过在线的简单的例子,马上入手写一个扫描插件,有人问,我写这个插件能干啥,别人用了会给我钱吗?如果你这样问,那么这个东西不适合你,他只适合,心里还有那么一丝共享精神的,曾经希望自己变成黑客的,现在从事网络安全行业的屌丝男同胞们, 如果真的要问,我能给提供漏洞的人什么,我只能说rank,你的贡献值,永远的记录在网站上
下面上张图,
是的,像像看到的那样,你不是用我们提供的服务器在扫描,是你自己架设引擎扫描,只需要装一个Python 2.7, 什么都有了,不需要下载任何第三方安装包,只需要一个命令,完全内存执行,绝对绿色,最重要的一点,你可以使用别人无私共享出来的针对最新安全漏洞的扫描插件, 可以学习别人的经验,查看别人分享的插件代码。交流知识。
扫描程序对国内流行CMS做了识别
对于注入漏洞的检测,不管是post cookie, get还是referer user-agent,都样样在行
对于最新的安全漏洞,CMS的0day,也检测到位
下面发一个实例扫描报告:
总有那么一些人,在这里不图回报的更新着,共享着,说再多,不如一试.点击体验:
2987
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
