设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 1702|回复: 0

punkspider – 全球Web应用程序漏洞扫描引擎

[复制链接]

 成长值: 50910

发表于 2014-7-15 19:04 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?立即注册

x

安全问题威胁着所有Web应用程序和网站,其中XSS(跨站脚本攻击)、SQL注入最为常见。开发者一旦忽视了这一方面,有可能会造成严重的后果。
开发者可通过Punkspider来检测自己的Web应用程序(网站)中是否存在安全隐患。Punkspider是一个全球性的Web应用程序漏洞扫描引擎,可以告知开发者某个Web应用或网站中存在的安全漏洞。该引擎的原理是,利用一个可扩展的Hadoop集群,使用许多并行蜘蛛脚本来扫描互联网中数百万的网站,然后根据输入的URL来显示结果。
14054098055252.jpg

研究人员在一个测试中,扫描了50000个域名后缀为“.de”的网站,其中发现XSS漏洞大约50个,SQL注入漏洞16个,SQL盲注(Blind SQL Injection)漏洞大约120个。在对32,290个域名后缀为“.co.uk”的网站扫描中,共检测出30个XSS漏洞,2个SQL注入漏洞,60个SQL盲注漏洞。当然,不排除有些是误报。
Punkspider尽管可以帮助开发者扫描安全漏洞,但其公开结果的方式可能会导致更大的安全威胁——一些居心叵测的人可以找到大量的有用的网站漏洞信息,也引起了Web开发者的强烈不满。Punkspider集中了大量网站的安全漏洞数据,而这些漏洞信息都是未经网站所有者同意的情况下扫描的,是否存在法律问题还不得而知
在扫描一些网站时,可能会显示“没有结果”,但不排除Punkspider未来会将这些网站加入扫描目标列表中。Web开发者还无法从Punkspider的数据库中删除相关漏洞信息,只有修复这些安全漏洞。
对此,Punkspider项目CTO Alejandro Caceres称,该引擎还是会遵循Web应用程序中robots.txt中的相关说明。他同时表示,该项目还是利大于弊的,项目的目标是提醒企业web应用中存在这样的漏洞,而且这是免费的,企业应该要求自己的开发者来修复它们。
小编还是喜欢这个网页:http://punkspider.hyperiongray.com/lists/blacklist.list
随遇而安论坛   





来源:网络转载
[发帖际遇]: admin 在网吧通宵,花了 2 SB. 幸运榜 / 衰神榜
随遇而安
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表