代码之家  ›  专栏  ›  技术社区  ›  John Parker

关于代码扫描/渗透测试工具的建议

penetration-testing sql-injection xss security
  •  -1
  • John Parker  · 技术社区  · 15 年前

    据我所知,这些产品分为两类“扫描服务”(如McAfee、Comodo等)和工具(如Burp代理、HP WebInspect、Codescan等)。

    在一个理想的世界里,我使用的是每天主动扫描某个URL(目标是一个灯堆)的东西(或者如果它是一个独立的工具,则根据需要),但是我对独立的工具的覆盖范围和更新频率有点谨慎。(McAfee等远程扫描仪可能会根据需要进行更新。)

    我也遇到过一些独立工具的问题(不幸的是,我记不清是哪种工具),这些工具在我们的URL重写系统中迷路了(在游戏中有一个方面的搜索,所以你可以想象,在URL前端,事情会变得相当深入)。

    因此,我只是想知道人们对现有产品有什么体验,以及独立工具是否与扫描服务相提并论。

    (顺便说一下,我知道 Penetration testing tools -我只是想知道从那时起情况是否发生了变化)

    1 回复  |  直到 14 年前
        1
  •  1
  •   rook    15 年前

    我做过渗透测试, exploit development .我可以从第一手的经验中告诉你,黑客攻击不仅仅是触发一些工具。有时候工具可以让生活更容易,但是如果你不知道自己在做什么,那么工具就不会有帮助。

    如果你想 知道 你的系统是安全的,那么你需要更高的技术黑客来闯入。PCI-DSS是信用卡处理所需的认证,它要求您在服务器上进行定期渗透测试。如果您希望拥有一个非常安全的服务器,那么应该采用定期的渗透测试。

    Web服务器的一个非常好的安全措施是Web应用程序防火墙(WAF)。PCI-DSS也需要WAF。 Mod_security 是免费的开源WAF。国防部的安全可以用来防止数百种不同类型的攻击。对于渗透测试人员来说,WAF可能是一场噩梦,也可能是黑客。

    推荐文章
    cagta  ·  如何使用此python脚本避免硬编码sql表达式?
    6 年前
    John  ·  MySQL php查询缺陷
    6 年前
    DavidC  ·  Rails ActiveRecord:如何在jsonb上使用带双引号的绑定变量
    6 年前
    Mori  ·  Azure函数中针对CosmosDB的SQLInjection
    6 年前
    Константин Ковалев  ·  Laravel eloquent selectRaw for SQL注入
    7 年前
    zerocool  ·  数据库中的查询级别
    7 年前
    Arunabh  ·  在不使用预处理语句的情况下摆脱SQL注入
    7 年前
    Michael Pomogajko  ·  为基于时间的盲sqlinjection查找sql查询
    7 年前
    Paul  ·  是节点中的转义函数。js mysql包是否足以安全地查询mysql数据库(无需使用准备好的语句)?
    7 年前
    Web Dev Guy  ·  使用WordPress get\u results()数据库函数是否会阻止sql注入
    7 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号