web的漏洞测试(一)
同事的一个网站要对外使用,由于以前发生过被黑的事情,所以这次让我们做一下web的漏洞测试,在网上找了找相关的工具,基本都说如下三种强大,Nessus、Acunetix(AWVS)、brup suite,同事使用Nessus做了一个生产检查,我则用AWVS做了一下本地开发测试,选择了扫描本地安装的XAMPP的Apache缺省网站,信息如下:
前两个小时运行很快,进度到了95%,以为很快能结束呢,
1000多分钟了,还是98%
完全扫描花费了近1200分钟,这是20个小时啊,完全扫描真是内容多,时间长,但一定值得。
选择生产报告
选择生产了三份报告,即Executive Summary执行摘要报告,3页,Affected Items受影响项目报告,186页,Compliance Report是ISO 27001合规性报告,668页。
三份报告的内容如下:
https://download.csdn.net/download/tikiyou/18464327
https://download.csdn.net/download/tikiyou/18464349
https://download.csdn.net/download/tikiyou/18464361
下一步,花费一些时间逐步分析一下文件内容,以达到学习和提升的目的。